跳至主内容

安全事件

本文仅适用于 安全数据湖 安全 功能或特性。 安全数据湖 安全属于 安全数据湖 集中式日志管理平台的组成部分,需单独授权许可。请联系 安全数据湖 销售 团队获取产品详情。 Graylog安全平台

一种 安全数据湖 安全事件可能代表关键事故或由 安全数据湖 平台记录的活动,这些活动表明系统完整性和安全性可能受到威胁。此类事件包括登录失败、异常网络流量及潜在恶意软件等。您可通过定义规则和标准来检测这些事件,并配置警报以确保及时识别、分类和调查可疑或关键活动。

本文将讨论与 安全数据湖 安全产品及 安全界面 相关的事件与警报。如需了解核心 安全数据湖 应用中事件定义与警报的工作原理,请参阅 通用事件文档 .

管理安全事件

安全事件 选项卡包含 警报 , 定义 通知 。这些组件协同工作以增强您的事件监控与事件响应能力。

安全数据湖 通用视图与安全视图中,事件功能基本相同;但 安全数据湖 通用视图的警报是静态的仅提供信息,而安全视图中的警报可操作且针对安全相关操作定制,使您能创建用于分类、调查、事件管理和事件响应的增强型工作流。

要查看和管理 安全事件 选项卡中的事件:

  1. 导航至 安全数据湖 安全 界面 .

  2. 选择 安全事件 选项卡。

接下来我们将回顾一些关键术语,这些术语有助于理解安全事件如何通过 安全数据湖 安全界面运作。强烈建议您同时查阅 事件管理文档 以获取这些术语的更全面解释。

事件定义

事件定义 对于自动检测可能指示安全事件、操作问题或IT环境中其他重要情况的重要事件或异常至关重要。例如,事件可能是对防火墙策略的更改或黑名单IP地址的失败登录尝试。 安全数据湖 安全通过允许您定义构成事件的具体标准,并在日志数据匹配您定义的条件时发出警报,帮助您管理安全事件。

创建新事件定义有两种主要方式:

事件类型

安全数据湖 中定义事件时,有两种类型的事件条件: 过滤和聚合 以及 事件关联 .

过滤与聚合

安全数据湖中的 过滤与聚合条件 允许您根据筛选和聚合日志消息的标准来定义事件。这包括设置条件以过滤传入消息,然后聚合它们以确定是否符合指定的阈值或模式。

例如,聚合事件类型可能包括:

  • 基于阈值的事件

    • 定义一个事件,当在定义的时间窗口内收到特定数量的符合特定条件的日志消息时触发。例如,当5分钟内发生超过100次失败的登录尝试时触发事件。

  • 模式识别

    • 基于日志消息中的模式检测事件,例如对常被利用的端点的Web请求,表明可能存在攻击。

事件关联

事件关联条件允许您基于跨多个来源或流的日志消息的关系或序列创建事件。这涉及定义识别事件模式或序列的条件,而不是简单的聚合。

例如,事件关联类型可能包括:

  • 序列检测

    • 当在不同日志或系统中短时间内发生特定事件序列时触发事件。例如,检测网络访问日志后跟防火墙规则更改的序列,表明可能存在安全策略违规。

  • 多源关联

    • 结合来自不同来源的日志(例如Web服务器日志、数据库日志)以检测相关事件,例如Web流量突然激增与数据库性能下降同时发生。

  • 异常检测

    • 识别跨多个日志源的异常模式或行为,例如来自地理分散IP地址的同时访问尝试,表明可能存在协同攻击。

警报

警报 安全数据湖 安全平台中提供对安全事件状态和进展的可见性,并允许您直接从警报执行各种操作。当触发警报时,它会提供安全事件的详细概述,并支持各种操作以简化响应工作。

搜索面板

在页面顶部,您会找到一个搜索栏,旨在帮助您通过关键字搜索安全事件。为了进一步深入搜索结果,您可以使用过滤器查找特定事件或警报。

过滤器

过滤器允许您精确缩小安全事件范围,从而更容易关注最重要的数据。通过应用基于时间戳、优先级、规则类型或MITRE ATT&CK技术等属性的过滤器,您可以快速隔离相关警报进行调查或深入特定安全事件。本节介绍如何有效使用过滤器以简化 安全数据湖 .

筛选安全事件的步骤如下:

  1. 首先进入 安全布局 中的 安全数据湖 .

  2. 转至 安全事件 > 告警 .

  3. 点击 筛选器 旁边的+图标下拉按钮,查看筛选类型:

筛选选项

用途

优先级

按严重程度筛选告警(如低、中、高)。

时间戳

设定特定时间窗口以筛选告警,适用于事件回溯。

事件定义

仅查看由特定检测规则集触发的告警。

状态

根据告警生命周期阶段筛选(如待处理、已关闭、调查中、误报)。

类型

按安全事件类型筛选(事件或告警)。

负责人

显示分配给特定团队成员或负责人的告警。

战术/技术

将警报映射到MITRE ATT&CK战术或技术(例如 TA0011:命令与控制 ).

检测链组成部分

指示某个警报是否属于更广泛的多步骤 检测链 。在威胁狩猎和活动跟踪中非常有用。

当应用筛选器时,它会以标签形式显示在 筛选器 下拉菜单旁。可选择并组合多个筛选器以实现精准定位。

注意

布尔属性只能使用一个筛选器。例如,您只能筛选事件或警报,而不能同时筛选两者。

警报操作

警报 页面上显示的警报列表中,您可以通过点击选定的警报执行直接操作,并从展开的窗口中您可以:

  • 重新执行搜索 :重新运行触发事件的原始搜索以调查相关活动。

  • 添加到 调查 :将警报/事件添加到现有或新的调查中。

  • 发送 通知 :向Slack频道、电子邮件或外部系统触发警报。

  • 分配负责人 :将警报或事件分配给团队成员以明确责任。

  • 更新状态 :更改状态(开放、调查中、已关闭等)。

  • 编辑 事件定义 :修改定义告警的规则或条件。

  • 添加注释 :在告警时间线中添加上下文注释或观察记录。

告警工作流示例

本例中,安全分析师希望通过告警过滤器识别异常访问模式的特定告警。分析师可以:

  1. 将过滤器设置为以下条件:

    • 战术/技术: TA0001:初始访问

    • 优先级 :

    • 时间戳 : 过去7天

  2. 分析时间线以检查活动峰值。

  3. 深入特定告警获取取证数据、日志或分配负责人跟进。

利用安全事件与告警工作流

当接收到符合事件定义条件的日志消息时, 安全数据湖 会根据指定条件进行评估并触发告警(如已启用)。让我们通过一个场景来展示安全事件工作流——从创建事件定义到基于告警通知完成调查。

安全事件与告警示例

本场景中,新入职的安全分析师Sally正在加强组织的安全事件监控。为此,她定义了一个监控登录失败事件,用于检测潜在的暴力破解或未授权访问尝试。当单个IP地址在五分钟内出现超过五次登录失败时,该事件定义将触发告警并发送邮件通知。

要通过 安全数据湖 网页界面创建此事件定义,Sally需导航至 安全数据湖 安全 > 安全事件 并点击 创建事件定义 按钮位于 事件定义 页面右上角。通过事件定义向导,萨莉按如下方式配置事件定义:

  • 标题: 登录失败尝试

  • 描述: 检测来自单一IP地址的多次登录失败尝试

  • 修复步骤( 可选 ): 锁定IP地址

  • 优先级 :高

  • 事件类型: 筛选与聚合

  • 筛选条件:

    • 搜索查询: event_code:4625

    • 最近搜索时间范围:5分钟

    • 执行搜索频率:每5分钟

    • 为定义创建事件的条件:聚合结果达到阈值

  • 聚合设置:

    • 分组字段(可选): source_ip

  • 条件:

    • 若 count(source_ip) > 5

  • 通知

    • 当此事件触发时发送邮件通知

事件定义配置完成,以下是其详细信息摘要:

Event Definition.png

随后,莎莉收到一封由“登录失败尝试”事件定义触发的电子邮件通知警报。

Failed Login Attempts.png

该警报显示存在高 风险评分 ,因此她立即优先处理此警报,将警报状态从 新建 改为 调查中 ,并将警报分配给自己作为负责人,同时 通过将警报添加至新调查来创建调查 。接着,莎莉继续向团队发送 通知 ——在阅读修复步骤并深入调查问题时,点击警报内的 发送通知 按钮完成操作。

为启动调查,莎莉点击警报左上角的 重播搜索 按钮对事件运行搜索查询并挖掘日志数据。此时,莎莉已掌握关于警报性质、关联资产、事件来源、用户名及其他与调查相关重要信息的上下文。

Log Message.png

莎莉结合组织内部关于应对潜在暴力攻击的事件响应手册及警报中的修复步骤,成功调查该安全事件并阻断了暴力攻击。

当调查结束且莎莉将警报状态更新为“已关闭”后,整个工作流程即告完成。

本节内容 :