事件识别与监控
安全数据湖 提供集成化的事件检测与监控功能,旨在帮助您识别可疑行为并触发符合安全运维要求的警报。
本文档章节将阐述事件、关联分析和警报如何协同构成 安全数据湖 中主动威胁检测与事件响应的基础。您将学习如何配置事件条件、将多个活动关联为更大的事件模式,并触发及时警报以保持安全运维的实时响应能力。
事件
事件 代表您环境中标志异常行为的具体情况。这些情况可能包括防火墙策略变更、来自黑名单IP地址的登录失败尝试,或其他任何可能预示潜在威胁或值得注意的操作变更的条件。
在 安全数据湖 中,您可以 根据传入的日志数据定义构成事件的精确参数 。一旦检测到事件(即日志信息符合定义标准时)—— 安全数据湖 会自动生成结构化事件对象,用于告警、关联和进一步分析。
关联事件
虽然单个事件能提供重要信息,但许多安全事件是通过相关活动模式显现的。 安全数据湖 的 关联引擎 允许您定义多个事件随时间的关系,帮助您发现原本可能被忽视的复杂或协同行为。
关联规则使您能追踪事件序列或组合——例如连续登录失败后出现成功登录,或在从新位置访问系统前不久发生的用户权限变更。
告警
告警 根据事件条件触发,用于通知团队潜在威胁、配置错误或性能问题。 安全数据湖 支持灵活的告警定义、 多种告警类型 (电子邮件、网络钩子、SIEM集成)以及告警严重性标记。