日志与事件有何相关性？

从基础知识开始

安全信息和事件管理 (SIEM)帮助管理和分析网络产生的巨数日志信息。在SIEM所有功能中，事件相关性是最强大的功能。这个技术分析来自服务器、应用程序、路由器、防火墙和其他网络设备的日志数据，并显示潜在攻击活动的模式。事件相关性让您获取已有信息的最大信息点，这样您就可以简化安全事件检测。

 

事件相关性检测哪种类型的攻击?

事件相关性遵循自上而下的方法，如果它检测到单个事件是攻击活动的一部分时，它开始寻找另一个相关事件的序列，直到它能够验证潜在攻击模式的风险。通过这种方法，事件相关性可以灵活性地找到无限数量，让您可以紧跟不断变化的网络攻击。

下面是一些典型的攻击行为，这个技术可以帮助您抵挡攻击:

高级持续攻击: 发现在后台进行恶意活动的攻击者。事件相关性帮助您通过查找关键指标，显示恶意后台活动及发现这些恶意的试图活动来检测。例如，您可以识别出后台账户的创建，以及可疑的软件和服务的安装。

数据泄露: 监控您的机密数据，保证其远离非法访问。这方面的例子包括异常文件删除或未授权的SQL备份。

恶意的内部人员: 密切关注您的员工，注意内部恶意活动。如暴力破解服务器或工作站、越权使用网络资源邓，都属于注意范围。

横向传播: 在进行传播之前，检测通过网络的横向移动和损害。这包括在多个网络设备上安装蠕虫或跨网络多个文件被修改，这表明可能存在网络攻击活动。

 企业如何因此得到益处？

得到安全性的整合观点: 根据事件相关性，安全性就是网络整体应该强制具备的功能，而不是只针对某几台设备。

更快，更准确的事件检测: 一旦开始日志收集，事件相关性会瞬间识别事件类型。它也通过查找一系列相关事件的轨迹，提供单个事件的前因后果。这使检测事件更准确，从而减少误报。持续改进安全策略: 检测事件、揭露网络中的薄弱环节，这样可以帮助安全管理员在最需要的地方优先配置和加强安全措施。

高效的取证分析: 通过提供攻击者攻破网络的完整过程，事件相关性为进一步的取证调查提供坚实的基础。

轻松满足 IT 合规:当您可以利用强大的系统检测事件，并展现其是如何发生的，遵从合规政策变得十分简单。