关联分析是分析按顺序发生的不同事件并识别它们之间关系的过程。对网络中发生的事件进行关联分析可以提供更好的事件上下文,而单独查看事件则可能忽略这些内容。
例如,单次密码失败是正常事件。但一分钟内连续一百次失败后紧跟着的成功登录可能表示潜在的入侵。
Log360 Cloud中的关联规则是一种表达式,允许用户定义可能表明异常或安全漏洞的事件序列。
下图展示了关联规则中的参数:
动作 - 网络中发生的任何事件。例如,登录失败。
动作之间的时间窗口 - 表示逻辑序列中不同事件之间的时间间隔。
阈值 - 指定时间窗口内动作必须发生的最小次数。
筛选器 - 允许用户为每个动作指定条件。例如,可以包含需要监控的网络IP地址范围。