关联引擎
该 安全数据湖 关联引擎是 安全数据湖 的核心组件,可分析复杂事件序列以识别有意义的安全事件。
目标
在事件关联与分析方面,您可采用多种不同方法。 安全数据湖 关联引擎的设计基于以下核心方法:
-
按字段关联
-
支持创建按特定字段分组的规则,从而实现基于唯一字段的告警(例如按用户名)。
-
-
跨事件源关联
-
该功能可监控跨多源日志的模式,例如当同一IP地址在IDS日志后立即出现登录行为时发出告警。
-
-
寻找缺失事件
-
这种关联分析方法用于监测未输入到 安全数据湖 的日志。典型场景如:本应重启的关闭状态Web服务器未正常启动。
-
-
复杂关联
-
支持在现有告警基础上构建关联告警,从而为环境生成更复杂精细的事件告警。例如检测到暴力破解攻击后,若有人立即创建用户凭证,系统将同步触发告警。
-
创建事件定义
建立事件关联规则的第一步是 新建事件定义 。需注意,事件关联的本质是构建一系列按特定顺序排列的事件定义,当所有条件满足时即触发告警。例如要创建检测暴力破解攻击的关联规则,就需要先定义暴力破解攻击事件。
注意
事件、事件定义和告警的详细说明请参阅 事件定义 页面。建议先完整阅读该文档,因本文内容基于这些基础概念展开。
指定关键字段
事件关联规则主要围绕事件定义中的关键字段构建。将特定字段设为核心字段,实质是按该字段对事件进行分组。
安全数据湖
会根据发现的唯一键值生成对应数量的事件。例如若将
user_name
字段设为核心字段,则每个触发告警的用户名都会生成独立事件。
本例中,我们将围绕
user_name
字段构建事件关联规则。
-
导航至 告警 > 事件定义 并选择特定的关联事件。
-
点击 编辑 索引集行末的按钮。
-
点击 字段 以显示先前用于创建该事件的字段。
-
从字段名称旁的 编辑 操作 菜单中 选择
-
在此菜单中,您需确保将用于关联功能的字段标记为关键字段。请确认 将字段用作事件键 已按图示勾选。
构建事件关联
选定关键字段后,我们需要构建实际用于定义事件的关联序列。
-
转到为此关联事件创建的事件定义,点击 编辑 .
-
在向导中 跳转至 过滤与聚合
-
选择 事件关联 作为条件类型。
此更改将触发相应的关联菜单,允许您指定构成事件关联的规则。
通过该菜单可设置关联规则以触发警报。
事件关联规则
-
“必须在此时间范围内满足以下事件序列”
-
用于设定所有关联事件必须完成的时间范围,以满足事件关联的要求。
-
-
“关联应执行”
-
决定关联查询在实例上运行的频率。
-
选择事件
在这些菜单中,您将选择共同决定事件关联的单个事件定义。以前述暴力攻击事件为例,您可能需要选择登录失败尝试和登录成功尝试作为需要关联逻辑的具体事件;请注意这些是独立的事件定义,需事先按照 创建事件定义 .
事件 #1
-
事件来源
-
指定已创建的事件定义,用于确定构成目标事件的条件。
-
-
应至少发生
-
定义该事件在关联事件周期内应发生的最小次数。
-
事件 #2
除前述字段外,第二个及后续事件需您判断该事件是否应满足以下条件:
-
至少发生
-
表示该事件达到预设次数时将触发事件关联。
-
-
不发生,且后续伴随另一事件
-
表示该事件通常应发生,其未发生可能预示异常情况。
-
-
在接下来时间内不发生
-
表示该事件若未在预设时间内发生,可能预示异常情况。
-
可通过点击 添加事件 .
预览关联
选择菜单右侧将生成事件关联流程图,便于查看触发整体关联事件所需发生的实际事件序列。
设置警报
您可能需要设置某种告警机制来通知事件关联的发生。有关创建各类事件告警的详细说明,请参阅 告警 文章。
应用场景示例
通过配置 安全数据湖 关联引擎,可支持多种参数和序列下的不同关联事件。如需更详细的应用场景示例,我们推荐 关联引擎演示 ,该演示可在 安全数据湖 官网上查看。