历史关联概述

数据选择

配置文件使用保存的搜索来收集要在运行中使用的历史事件和流数据。确保您的安全配置文件授予查看要包含在历史关联运行中的事件和流的权限。

规则选择和处理

JSA 控制台仅根据历史关联概要文件中指定的规则处理数据。

通用规则测试事件和流中的数据。您必须先具有查看事件和流的权限，然后才能向配置文件添加通用规则。当配置文件由无权查看事件和流的用户编辑时，通用规则会自动从配置文件中删除。

您可以在历史关联概要文件中包括禁用的规则。配置文件运行时，将根据传入事件和流评估禁用的规则。如果触发了规则，并且规则操作是生成冒犯，则即使禁用了规则，也会创建冒犯。为了避免产生不必要的干扰，在历史关联期间将忽略规则响应，例如报告生成和邮件通知。

由于历史关联处理发生在单个位置，因此配置文件中包含的规则将被视为全局规则。处理不会将规则从本地更改为全局，但会在历史关联运行期间像处理全局规则一样处理规则。某些规则（如有状态规则）可能不会触发与在本地事件处理器上运行的正常关联中相同的响应。例如，在 5 分钟内跟踪来自相同用户名的 5 次失败登录的本地有状态规则在正常和历史关联运行下的行为有所不同。在正常关联下，此本地规则维护每个本地事件处理器接收的失败登录次数的计数器。在历史关联中，此规则为整个 JSA 系统维护单个计数器。在这种情况下，与正常关联运行相比，创建攻击的方式可能不同。

进攻创造

历史关联运行仅在触发规则且规则操作指定必须创建攻击时创建攻击。历史关联运行不会对实时攻击产生影响，也不会对从早期历史关联运行创建的攻击产生影响，即使使用相同的配置文件也是如此。

历史关联运行可以创建的最大违规数为 100。达到限制时，历史关联运行将停止。

您可以在查看实时违规的同时，在“ 威胁和安全监视 ”仪表板和“ 攻击 ”选项卡上查看历史违规。