日誌與事件相關性的聯絡

從基礎知識開始

安全資訊和事件管理 (siem)幫助管理和分析網路產生的巨大數量的日誌資訊。在siem所有功能中，事件相關性是最強大的功能。這個技術分析來自伺服器、應用程式、路由器、防火牆和其他網路裝置的日誌資料，並顯示潛在攻擊活動的模式。事件相關性讓您獲取已有資訊的最大資訊點，這樣您就可以簡化安全事件檢測。

事件相關性檢測哪種型別的攻擊?

事件相關性遵循自上而下的方法。如果它檢測到乙個單個事件可能是攻擊活動的一部分時，它開始尋找乙個相關事件的序列，直到它能夠驗證潛在攻擊模式的存在。通過這種方法，事件相關性可以靈活性地找到無限數量的模式，讓您可以緊跟不斷變化的網路攻擊。下面是一些典型的攻擊行為，這個技術可以幫助您抵擋攻擊:

高階地持續攻擊: 發現誰在試圖避開網路，在後台進行惡意活動的攻擊者。事件相關性幫助您通過查詢關鍵指標，顯示惡意後台活動，發現這些惡意的試圖活動。例如，您可以識別出後門賬戶的建立，以及可疑的軟體和服務的安裝。

資料洩露: 監控您的機密資料，保證其遠離非法訪問。這方面的例子包括異常檔案刪除或未授權的sql備份。

惡意的內部人員: 密切關注您的員工，注意內部惡意活動。暴力破解進入關鍵企業伺服器或工作站，越權使用網路資源，都屬於這一範疇。

橫向傳播: 在進行傳播之前，檢測通過網路的橫向移動和損害。這包括在多個網路裝置上安裝的蠕蟲或跨網路的多個檔案被修改，這可能表明可能的勒索軟體活動。