Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

流管道

进入 JSA 的 流会经过深入的过程,以提取有关网络通信的更多信息,从而查找可能发生安全事件的指标。

图 1:JSA Flow Pipeline in JSA 中的流管道

流处理器进程

流处理器进程从各种流源收集数据。它通过解析和规范化数据,在一分钟内获取信息来聚合数据。然后,它会分析流以提取附加信息,例如确定应用和流方向,并在将其移交给流程ecs-ec之前创建超流。

ecs-ec 流程

该过程 ecs-ec 可进一步解析流记录并执行其他统一和处理,例如去重、非对称重组、许可、域标记、自定义流属性和流转发。然后,该流被传递到自定义规则引擎 (CRE),以确定该流是否触发了一个规则,这可能表示已发生安全事件。

相关文档