增强威胁检测

安全界面是 安全数据湖 中用于监控和调查威胁活动的专属工作区。它整合来自事件、告警、关联行为及增强资产情报的数据，提供统一的安全态势视图。分析师可通过该界面实时监控威胁活动、深入调查可疑事件并识别高风险资产。通过集中化威胁可视化，安全界面支持更快速的调查和高效的事件响应。

安全事件 代表可能危及系统完整性的关键活动或异常情况（如登录失败、异常网络流量或潜在恶意软件）。安全事件通过 事件定义 进行检测，这些定义通过过滤、聚合或关联日志数据来识别可疑行为。在 安全数据湖 的安全界面中，安全事件可被直接处置，分析师可借此触发警报、分配责任人、启动调查并高效管理事件。

风险评分 提供了一种动态累积的威胁评估方法。与孤立看待每条日志或事件不同， 安全数据湖 通过聚合事件严重性、资产敏感度及 检测链 等上下文信息来计算风险评分。这些评分帮助分析师根据近期活动快速识别高风险用户或系统。通过将焦点从独立警报转向持续风险趋势，您能在调查响应中做出更明智的决策。

资产增强 通过附加主机名、IP信誉、地理位置、部门归属或系统关键性等上下文信息，提升进入 安全数据湖 的原始数据价值。这种增强上下文使团队能快速理解受影响系统的相关性与敏感度，从而加速分诊并缩短解决时间。 安全数据湖 可 摄取增强数据 （既包括内部资产管理系统，也涵盖外部情报源），为您提供更完整的事件全景。 安全数据湖 还支持连接第三方 漏洞扫描器 ，以便将漏洞数据添加到机器资产中。

异常检测 通过识别偏离既定行为基线的活动，为威胁可见性增加新维度。该功能可帮助检测内部威胁、错误配置和零日攻击等不符合已知检测特征的行为。通过持续评估日志模式， 安全数据湖 能突显超出正常运营趋势的活动。

Sigma规则 为编写和共享检测逻辑提供了标准化格式。 安全数据湖 支持将这些厂商中立的规则导入并转换为事件定义，便于部署社区开发或自定义的威胁检测模式。此外， 安全数据湖 支持使用 Sigma关联分析 功能，可帮助您分析跨多个日志事件的时序模式。