关联引擎
该 安全数据湖 关联引擎是 安全数据湖 的核心组件,可分析复杂事件序列以识别有效安全事件。
目标
事件关联与分析可采用多种方法。 安全数据湖 关联引擎的设计基于以下核心方法:
-
按字段关联
-
支持创建按特定字段分组的规则,实现独特字段告警(如按用户名)。
-
-
跨事件源关联
-
这是一种针对跨多个来源的日志模式的监控机制,例如,您可以看到来自同一IP地址的IDS日志后立即发生的登录行为。
-
-
寻找缺失事件
-
这种关联分析方法允许您监控未被输入到 安全数据湖 的日志。例如,当已关闭并应重新启动的Web服务器未能正常启动时。
-
-
复杂关联
-
这意味着您可以在另一个警报之上构建关联警报,从而为您的环境生成更复杂、更细致的事件警报。例如,如果检测到暴力破解攻击,您还可以在有人立即创建用户凭据时收到警报。
-
创建事件定义
创建事件关联规则的第一步是 为此关联创建一个新的事件定义 。请记住,事件关联的核心在于按照某种指定顺序构建一系列特定事件定义,当所有条件满足时触发警报。例如,如果您想创建一个关联规则来搜索可能表明正在发生暴力破解攻击的条件,则需要创建一个暴力破解攻击事件定义。
注意
事件、事件定义和警报在 事件定义 页面中有更详细的介绍。强烈建议先阅读该页面,因为本文基于这些现有原则展开。
指定关键字段
构建事件关联主要围绕事件定义中的关键字段展开。将特定字段指定为关键字段,只是根据该关键字段将事件分组的一种方式。
安全数据湖
将为每个唯一键生成事件。例如,如果
user_name
字段被指定为键,则会为每个触发警报的用户名生成一个事件。
在本例中,我们将围绕一个字段构建事件关联,即
user_name
字段。
-
导航至 警报 > 事件定义 并选择特定的关联事件。
-
点击 编辑 索引集行末的
-
点击 字段 以显示先前用于创建该事件的字段。
-
从字段名称旁的 编辑 操作 菜单中 选择
-
在此菜单中,需确保将用于关联功能的字段标记为关键字段。请确认 将字段用作事件键 已按图示勾选。
构建事件关联
选定关键字段后,需构建实际用于定义事件的关联序列。
-
导航至为此关联事件创建的事件定义,点击 编辑 .
-
在向导中跳转至 筛选与聚合 选项卡。
-
选择 事件关联 作为条件类型。
此变更将触发关联菜单,用于指定构成事件的规则。
通过此菜单可设置触发警报的关联规则。
事件关联规则
-
“必须在以下时间范围内满足以下事件序列”
-
用于设定所有关联事件必须完成的时限,以满足事件关联的要求。
-
-
“关联规则应执行”
-
确定关联查询在您的实例上运行的频率。
-
选择事件
在这些菜单中,您将选择共同构成事件关联的各个事件定义。以之前暴力破解攻击事件为例,您可能需要选择登录失败尝试和登录成功尝试作为需要关联逻辑的特定事件;请注意这些是独立的事件定义,需按照 创建事件定义 .
事件 #1
-
事件来源
-
指定已创建的事件定义,用于确定构成目标事件的条件。
-
-
应至少发生
-
定义该事件在关联事件周期内需发生的最小次数。
-
事件 #2
除前述字段外,第二个及后续所有事件都需您判断该事件是否应满足以下条件:
-
至少发生
-
表示该事件达到预设发生次数时将触发事件关联。
-
-
不发生,且后续跟随另一事件
-
表示该事件通常应出现,其未发生可能预示某些问题。
-
-
在接下来时间内不发生
-
表示该事件若未在指定时间内发生,可能预示某些异常情况。
-
可通过点击 添加事件 .
预览关联规则
选择菜单右侧将生成事件关联的流程图,便于您查看触发整体关联事件所需发生的实际事件序列。
设置警报
您可能需要设置事件关联发生的告警机制。关于创建各类事件警报的详细说明,请参阅 警报 文档。
应用场景示例
该 安全数据湖 关联引擎可配置为支持多种不同参数和序列的关联事件。如需更详细的使用案例方法,我们推荐参考 关联引擎演示 (详见 安全数据湖 官网)。