SIEM:Security information and Event management安全信息和事件管理
【SIEM是检测偏多还是监测偏多】
SIEM系统在设计上既注重检测也强调监测,两者功能相辅相成,共同构成了组织安全态势感知和响应的核心能力。
**监测(Monitoring)**是SIEM系统的基础功能,它持续不断地收集、整合并分析来自网络设备、主机系统、应用程序等源头的各类日志和事件数据。通过实时监控这些信息流,SIEM系统能够提供对整个IT环境的全面视图,用于日常的安全运维、合规性检查以及异常行为的初步识别。
**检测(Detection)**则是SIEM系统中的高级功能,基于其强大的数据分析能力和威胁情报库,SIEM能够发现潜在的安全威胁、攻击迹象或恶意活动模式。这包括但不限于已知攻击签名匹配、用户行为分析(UBA)、异常行为检测、上下文关联分析等手段,从而实现对未知威胁和复杂攻击链的检测。
利用spl语句做【超过90天没有登录的账号】
index=<你的日志索引>
2| dedup username
3| stats last(login_time) as last_login by username
4| where isnull(last_login) OR (now() - relative_time(last_login, "90d") > 0)
index=<你的日志索引>
:替换为实际存储飞连准入产品日志的索引名称。dedup username
:去除同一用户名的重复行,确保每个用户名只保留一行最新登录记录。stats last(login_time) as last_login by username
:按用户名分组并计算出每个用户的最后一次登录时间。where isnull(last_login) OR (now() - relative_time(last_login, "90d") > 0)
:筛选出从未登录过(last_login为null)或最后一次登录时间距离现在超过90天的用户。