Корреляция логов
Что такое Корреляция логов?
Корреляция логовСвязывание событий из нескольких источников по общим полям, временным окнам или последовательности, чтобы выявить многошаговую активность, скрытую в отдельных логах.
Корреляция логов выполняется правилами SIEM и конвейерами обнаружения, которые объединяют связанные события между хостами, пользователями и сетевыми сенсорами. Правила обычно соединяют события по идентификаторам — имени пользователя, исходному IP, имени хоста или хешу процесса — и применяют временные ограничения (например, пять неудачных входов и затем успешный за десять минут). Stateful-движки отслеживают сессии, считают вхождения и поднимают тревогу при совпадении шаблона. Хорошая корреляция снижает шум по сравнению с одиночными сигнатурами и показывает развитие kill chain. Задачи — нормализация схемы, расхождения часов, высокая кардинальность ключей и правила, которые обобщают без избытка ложных срабатываний.
● Примеры
- 01
Связать клик по фишинговому письму с аномалией дочернего процесса на той же рабочей станции в течение 15 минут.
- 02
Сопоставить вход по VPN из новой страны с назначением привилегированной роли в облачной control plane.
● Частые вопросы
Что такое Корреляция логов?
Связывание событий из нескольких источников по общим полям, временным окнам или последовательности, чтобы выявить многошаговую активность, скрытую в отдельных логах. Относится к категории Защита и операции в кибербезопасности.
Что означает Корреляция логов?
Связывание событий из нескольких источников по общим полям, временным окнам или последовательности, чтобы выявить многошаговую активность, скрытую в отдельных логах.
Как защититься от Корреляция логов?
Защита от Корреляция логов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Корреляция логов?
Распространённые альтернативные названия: Корреляция событий, Правило корреляции.