Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

历史相关性

使用历史关联来运行过去的事件,并通过自定义规则引擎 (CRE) 来识别已发生的威胁或安全事件。

注意:

不能在 日志管理器中使用历史关联。有关 JSA日志管理器之间差异的更多信息,请参阅 JSA 产品中的功能

缺省情况下, JSA 部署会近乎实时地分析从日志源和流源收集的信息。通过历史关联,可以按开始时间或设备时间进行关联。 开始时间JSA 收到事件的时间。 设备时间 是事件发生在设备上的时间。

在以下情况下,历史关联可能很有用:

  • 分析批量数据 - 如果将数据批量加载到 JSA 部署中,则可以使用历史关联将数据与实时收集的数据相关联。例如,为了避免在正常工作时间内性能下降,您可以在每晚午夜从多个日志源加载事件。您可以使用历史关联按设备时间关联数据,以查看过去 24 小时内发生的网络事件的顺序。

  • 测试新规则 - 可以运行历史关联来测试新规则。例如,您的一台服务器最近遭到了您没有制定规则的新恶意软件的攻击。您可以创建规则来测试该恶意软件。然后,您可以使用历史关联根据历史数据检查规则,以查看如果在攻击发生时规则已到位,该规则是否会触发响应。同样,您可以使用历史关联来确定攻击首次发生的时间或攻击的频率。您可以继续优化规则,然后将其移动到生产环境中。

  • 重新创建丢失或清除的冒犯 - 如果系统由于中断或其他原因而丢失冒犯,您可以通过对在此期间传入的事件和流运行历史关联来重新创建冒犯。

  • 识别以前隐藏的威胁 - 当已知有关最新安全威胁的信息时,您可以使用历史关联来识别已发生但未触发事件的网络事件。您可以快速测试已危害组织系统或数据的威胁。