Illuminate
Illuminate是由管道、解析规则、查找表等内容构成的集合。该内容通过采用 安全数据湖 通用信息模型(GIM)架构 实现标准化方法处理各类事件日志,从而提升常见日志源的搜索分析效率。
通过对日志数据进行富化与标准化处理(例如用户名或IP地址始终位于相同字段),日志搜索将变得更加便捷高效。此外,您还能创建更具通用性的 仪表板 ——这些仪表板可跨任意数据类型使用(因其已映射至架构),且不受防火墙连接方式限制。
为实现这一目标,Illuminate通过摄取日志、分类处理实现功能。分类过程作用于原始日志消息进入 安全数据湖 时,因此 日志数据的发送方式 将直接影响Illuminate能否正确捕获并处理消息。例如某些设备支持多种日志格式发送,如 符合syslog标准的消息 、符合BSD标准的消息以及自由格式消息,但解析规则仍需特定格式才能生效。有关系统版本、具体格式或设置的详细信息,请参阅对应的 内容包文档 .
Illuminate架构
Illuminate采用分层处理设计,将处理流程划分为三个核心环节。
处理包
用于日志解析与处理的独立包:
-
从 安全数据湖 实例接收的所有日志中识别目标日志。
-
执行解析和/或规范化处理,并应用 安全数据湖 模式。
-
识别特定事件消息类型并分配类型代码。
-
丰富事件消息内容。
Illuminate核心
Illuminate核心处理器:
-
为事件日志消息提供通用处理逻辑。
-
识别常见私有或保留IP地址。
-
为已分配事件类型代码的消息补充类别、子类别及事件类型数据。
-
可选地通过MaxMind或IPinfo数据库为符合条件的消息提供地理位置和ASN信息增强。
-
可选地执行GIM强制规范,确保事件包含类别和子类别的必填字段,并识别潜在的事件分类问题。
聚焦包
基于已解析处理日志的独立内容包,提供:
-
可视化处理日志的仪表板
-
用于检测日志异常活动的Sigma规则和事件定义
内容中心
Illuminate内容中心是集中浏览、启用和管理内容包的平台。它提供新发布和现有内容包的访问入口,自动将新增或更新的内容置顶显示。该中心支持通过状态、类型、标签或关键词进行搜索筛选,帮助用户快速定位相关内容。管理员可通过直观界面安装或卸载内容包,该界面还能管理包间依赖关系,从而简化 安全数据湖 环境。
Illuminate的性能影响
Illuminate日志处理支持以下功能 告警规则 , 异常检测器 以及 仪表板 跨多种日志源协同工作。通过Illuminate处理日志数据,您无需分别创建"Windows暴力登录"和"Linux暴力登录"等独立规则,只需创建一条通用规则即可覆盖两者。
与 安全数据湖 中所有处理流程相同,每条日志消息经过上述处理流程时都会产生性能影响。门控规则或排序规则作为首层筛选机制,可限制需要深度处理的日志量,从而减少每条消息触发的规则数量。
处理规则的类型涵盖 简单的键值提取器 (执行效率极高),到复杂的正则表达式或GROK模式。每条规则对性能的影响各异,且同一规则在不同日志类型上的表现也不尽相同,因此具体环境中每条规则的实际开销具有主观性。
索引与分片
Illuminate不会为 索引和分片设置 使用特殊值,当前直接采用系统默认配置。索引和流创建完成后,您可根据需要调整副本数或增减分片数量。
Illuminate根据行业通用实践设置索引保留时间,确保仪表板、异常规则和告警规则能获取足够的在线数据。虽然这些设置可调整,但请注意可能影响已有保存配置。