增强威胁检测

安全界面是 安全数据湖 中用于监控和调查威胁活动的专用工作区。它汇集了来自事件、警报、关联行为及增强资产情报的数据，为您提供统一的安全态势视图。分析人员可通过该界面实时监控威胁活动、深入调查可疑事件并识别高风险资产。通过集中化威胁可视化，安全界面支持更快速的调查和简化的事件响应流程。

安全事件 指可能危害系统完整性的关键活动或异常（如登录失败、异常网络流量或潜在恶意软件）。这些事件通过 事件定义 进行检测——该功能通过过滤、聚合或关联日志数据来识别可疑行为。在 安全数据湖 的安全界面中，安全事件具有可操作性，使分析人员能够触发警报、分配责任人、启动调查并高效管理事件。

风险评分 提供了一种动态累积的威胁评估方法。不同于孤立处理每条日志或事件， 安全数据湖 会综合事件严重性、资产敏感度及 检测链 等上下文信息随时间推移计算风险值。这些评分帮助分析人员根据近期活动快速识别威胁最大的用户或系统。通过将关注点从独立警报转向持续风险趋势，您能在调查响应过程中做出更明智的决策。

资产增强 功能通过附加主机名、IP信誉、地理位置、部门归属或系统关键性等上下文信息，提升进入 安全数据湖 的原始数据价值。这种增强的上下文让团队能快速理解受影响系统的相关性和敏感度，从而加速分类处置并缩短解决时间。 安全数据湖 可 摄取增强数据 （既来自内部资产管理系统，也来自外部情报源），使您对每个事件都有更全面的认知。 安全数据湖 还支持连接第三方 漏洞扫描器 ，以便向机器资产添加漏洞数据。

异常检测 通过识别与既定行为基线的偏差，为威胁可见性增加另一层防护。此功能有助于检测内部威胁、配置错误和零日攻击，这些可能不符合已知的检测特征。通过持续评估日志模式， 安全数据湖 可以突出显示超出正常操作趋势的活动。

Sigma规则 提供了一种标准化的格式，用于编写和共享检测逻辑。 安全数据湖 支持将这些与供应商无关的规则导入并转换为事件定义，便于部署社区开发或自定义的威胁检测模式。此外， 安全数据湖 支持使用 Sigma关联 ，允许您分析跨多个日志事件的模式。