来自日志搜索的实时告警模式
EventLog Analyzer提供了几个选项来自定义报表。根据您的要求,您可以使用新的报表配置文件创建新的自定义报表。除了新的自定义报表之外,还可自定义现有的预建(预填充)报表以满足您的需求。通过使用这些自定义报表,由于报表已针对特定数据进行删减,因此管理员可以轻松进行日志分析。
自定义报表
根据特定的事件筛选器,从选定的一组设备上创建关于事件日志的新报表。
自定义现有报表
EventLog Analyzer允许您自定义报表。有了此功能,您将能够修改预建报表以满足您的要求。如果它适合您的要求,您可以自定义现有的预建报表,而无需创建自己的自定义报表。
将搜索转换为告警配置文件以快速减轻攻击
SIEM解决方案的基本组成部分之一是其告警工具。实时告警让您可以完全控制网络中发生的重要事件,因此您不仅可以更快地解决问题,还可在安全威胁造成任何实际损害之前处理这些威胁。除了实时短信和电子邮件告警外,EventLog Analyzer还允许您在告警触发时运行脚本,以便您可以立即开始减轻攻击。
每次攻击都遵循一种模式,通过EventLog Analyzer,您可以在搜索查询中捕获该模式,并将其保存为告警配置文件。这样,当网络中发生特定的事件模式时,您会实时收到告警。关注感兴趣的安全事件,以减少检测和响应安全操作中心的安全威胁所需的时间。
将搜索查询保存为告警配置文件
日志搜索让您能够深入查看大量日志并找到您所需的信息。使用EventLog Analyzer,您可以轻松地将搜索查询保存为告警配置文件。
例如,假设您输入查询A="x" and B="y" and C="z"。您可以将此搜索查询保存为告警配置文件,当在网络中出现A="x" and B="y" and C="z"时,系统会实时通知您。这是事件的静态关联。
通过电子邮件或短信获得通知,甚至在触发告警时选择运行脚本。调整触发条件,例如在特定时间间隔内发生某事件的次数,这样便仅在您想要发生告警时才会触发告警。告警配置文件是使用设备日志来减轻威胁的基本部分。