日志与事件相关性的联系

日志与事件相关性的联系
从基础知识开始
安全信息和事件管理 (SIEM)帮助管理和分析网络产生的巨大数量的日志信息。在SIEM所有功能中，事件相关性是最强大的功能。这个技术分析来自服务器、应用程序、路由器、防火墙和其他网络设备的日志数据，并显示潜在攻击活动的模式。事件相关性让您获取已有信息的最大信息点，这样您就可以简化安全事件检测。
事件相关性检测哪种类型的攻击?
事件相关性遵循自上而下的方法。如果它检测到一个单个事件可能是攻击活动的一部分时，它开始寻找一个相关事件的序列，直到它能够验证潜在攻击模式的存在。通过这种方法，事件相关性可以灵活性地找到无限数量的模式，让您可以紧跟不断变化的网络攻击。下面是一些典型的攻击行为，这个技术可以帮助您抵挡攻击:
高级地持续攻击: 发现谁在试图避开网络，在后台进行恶意活动的攻击者。事件相关性帮助您通过查找关键指标，显示恶意后台活动，发现这些恶意的试图活动。例如，您可以识别出后门账户的创建，以及可疑的软件和服务的安装。
数据泄露: 监控您的机密数据，保证其远离非法访问。这方面的例子包括异常文件删除或未授权的SQL备份。
恶意的内部人员: 密切关注您的员工，注意内部恶意活动。暴力破解进入关键企业服务器或工作站，越权使用网络资源，都属于这一范畴。
横向传播: 在进行传播之前，检测通过网络的横向移动和损害。这包括在多个网络设备上安装的蠕虫或跨网络的多个文件被修改，这可能表明可能的勒索软件活动。

企业如何因此得到益处？
得到安全性的整合观点: 根据事件相关性，安全性就是网络整体应该强制具备的功能，而不是只针对某几台设备。
更快，更准确的事件检测: 一旦开始日志收集，事件相关性会瞬间识别事件类型。它也通过查找一系列相关事件的轨迹，提供单个事件的前因后果。这使检测事件更准确，从而减少误报。
持续改进安全策略: 检测事件、揭露网络中的薄弱环节，这样可以帮助安全管理员在最需要的地方优先配置和加强安全措施。
高效的取证分析: 通过提供攻击者攻破网络的完整过程，事件相关性为进一步的取证调查提供坚实的基础。
轻松满足 IT 合规:当您可以利用强大的系统检测事件，并展现其如何发生的，遵从合规政策变得十分简单。
如果您想要了解更多关于EventLogAnalyzer的功能介绍，请访问我们的网站: 百度搜索manageengine即可