Entry № 628
日志关联
日志关联 是什么?
日志关联依据共享字段、时间窗口或事件顺序,将来自多个日志源的事件关联起来,以呈现单条日志无法显示的多阶段活动。
日志关联由 SIEM 规则引擎和检测流水线执行,将跨主机、用户和网络传感器的相关事件联系起来。规则通常基于用户名、源 IP、主机名或进程哈希等标识符进行联接,并应用时间约束(例如十分钟内出现五次登录失败后跟随一次成功)。有状态引擎可跟踪会话、统计次数并在匹配模式时触发告警。良好的关联相比单事件签名能降低噪声,并揭示攻击链的演进。实际挑战包括字段规范化、时钟漂移、高基数键以及编写既通用又不产生过多误报的规则。
● 示例
- 01
将钓鱼邮件点击事件与同一终端在 15 分钟内出现的异常子进程关联起来。
- 02
将来自新国家的 VPN 登录与云控制平面上特权角色的分配相关联。
● 常见问题
日志关联 是什么?
依据共享字段、时间窗口或事件顺序,将来自多个日志源的事件关联起来,以呈现单条日志无法显示的多阶段活动。 它属于网络安全的 防御与运营 分类。
日志关联 是什么意思?
依据共享字段、时间窗口或事件顺序,将来自多个日志源的事件关联起来,以呈现单条日志无法显示的多阶段活动。
日志关联 是如何工作的?
日志关联由 SIEM 规则引擎和检测流水线执行,将跨主机、用户和网络传感器的相关事件联系起来。规则通常基于用户名、源 IP、主机名或进程哈希等标识符进行联接,并应用时间约束(例如十分钟内出现五次登录失败后跟随一次成功)。有状态引擎可跟踪会话、统计次数并在匹配模式时触发告警。良好的关联相比单事件签名能降低噪声,并揭示攻击链的演进。实际挑战包括字段规范化、时钟漂移、高基数键以及编写既通用又不产生过多误报的规则。
如何防御 日志关联?
针对 日志关联 的防御通常结合技术控制与运营实践,详见上方完整定义。
日志关联 还有哪些其他名称?
常见的别称包括: 事件关联, 关联规则。