Illuminate
Illuminate是一套包含管道、解析规则、查找表等内容的数据集合。该内容通过采用通用信息模型(GIM)架构并依托 安全数据湖 通用信息模型(GIM)架构 ,实现对各类事件日志的标准方法处理,从而提升常见日志源的搜索分析效率。
通过对日志数据进行富化与标准化处理(例如用户名或IP地址始终位于相同字段),日志搜索将变得更加便捷高效。此外,您还能创建更具通用性的 仪表板 ——这些仪表板可跨任意数据类型使用(因其已映射至统一架构),且不受防火墙连接方式的限制。
为实现这一目标,Illuminate通过摄取、分类和处理日志来运作。分类过程在原始日志消息进入 安全数据湖 时进行,因此 日志数据的发送方式 会影响Illuminate是否能正确拾取并处理消息。例如,某些设备可以以多种格式发送日志,如 符合syslog标准的消息 、符合BSD标准的消息以及自由格式消息,但仍需特定格式才能使解析规则生效。有关系统版本、具体格式或设置的详细信息,请参阅相应的 内容包文档 .
Illuminate架构
Illuminate采用分层处理设计,将处理过程划分为三个关键领域。
处理包
用于解析和处理日志的独立包:
-
从 安全数据湖 实例接收的所有日志集合中识别日志。
-
执行解析和/或规范化,并应用 安全数据湖 模式。
-
识别特定事件消息类型并分配类型代码。
-
丰富事件消息内容。
Illuminate核心
Illuminate核心处理器:
-
为事件日志消息提供通用处理逻辑。
-
识别常见的私有或保留IP地址。
-
为已分配事件类型代码的消息添加类别、子类别及事件类型数据。
-
可选地使用MaxMind或IPinfo数据库为符合条件的消息提供地理位置和ASN信息增强。
-
可选地实施GIM(通用信息模型)强制规范,确保事件包含类别和子类别的必填字段,并识别潜在的事件分类问题。
聚焦包
基于已解析和处理日志运作的独立内容包,提供:
-
用于可视化处理日志的仪表板
-
用于检测日志中异常活动的Sigma规则和事件定义
内容中心
Illuminate内容中心是一个集中化平台,用户可在此浏览、启用并管理Illuminate内容包。该中心提供新发布和现有内容包的访问入口,自动将新增或更新的内容包置顶显示。通过搜索和筛选功能,用户可根据状态、类型、标签或关键词快速定位相关内容。管理员可通过直观界面安装或卸载内容包,该界面还能管理包之间的依赖关系,从而简化 安全数据湖 环境中Illuminate内容的部署与维护流程。
Illuminate的性能影响
Illuminate日志处理支持 告警规则 , 异常检测器 及 仪表板 跨多种日志源运行。通过Illuminate处理日志数据,用户无需分别创建"Windows登录暴力破解"和"Linux登录暴力破解"等独立规则,仅需一条规则即可覆盖两者。
与 安全数据湖 中所有处理流程相同,每条日志消息经过上述处理时都会产生性能影响。门控规则或排序规则作为首层过滤器,可限制需进一步处理的日志量,从而减少每条消息触发的规则数量。
处理规则可能包含从 执行速度极快的简单键值提取器 ,到复杂的正则表达式或GROK模式。每条规则对性能的影响各异,且同一规则在不同日志类型上的表现也不同,因此每条规则的实际资源消耗需根据具体环境评估。
索引与分片
Illuminate不会为 索引和分片设置 使用特殊值,当前直接采用系统默认设置。索引和流创建后,用户可根据需要调整副本数量或增减分片数。
Illuminate根据行业惯例和标准设置索引保留时间,确保仪表板、异常规则和告警规则拥有足够的在线数据运行。虽然这些设置可调整,但需注意可能影响已有保存配置。