本页内容
Log360 Cloud 使安全团队能够检测、评估并接收异常用户和实体行为的警报。其仪表盘提供有序的异常详情、灵活的监控列表以优先监控特定用户和实体,以及可定制的通知以实现高效调查。本节详细说明了 Log360 Cloud UEBA 的仪表盘,以便高效进行异常调查。
可通过以下方式查看异常见解:
每个异常用户和实体都关联有风险评分。风险评分基于当前仪表盘中进行的分析计算并展示。
异常见解以三个子标签的形式呈现在 Log360 Cloud 的主页 仪表盘中。它们分别是:
图 1:ManageEngine Log360 Cloud 中的异常趋势仪表盘
该仪表盘提供所选时间范围内检测到的所有异常的总体摘要。包括:
指定时间段内识别的异常总数。
至今为止其活动被监控以检测异常的唯一用户数量。
至今为止其活动被监控以检测异常的实体数量。
列出最近的异常事件及其模式、用户、时间和置信度等详情。
点击最近异常卡片,可访问该特定异常的完整详情。这些详情分为:
指定时间段内异常计数的可视化呈现。
按风险评分范围分类和分布的异常用户/实体数量的可视化呈现。
最频繁的异常活动类型(如登录、文件修改或注册表访问)及其频率的可视化呈现。
指定时间段内每天触发异常的唯一异常实体数量的可视化呈现。
按异常类型(时间、计数和模式异常)分类的异常活动简明表格。
图 2:ManageEngine Log360 Cloud 中的用户仪表盘
用户 仪表盘 Log360 Cloud 的主页 突出显示个别用户的异常行为。该仪表盘还根据风险评分范围显示用户,使您能够优先关注高风险个体。用户仪表盘有助于优先调查,通过以下方式展示:
按当前风险评分排名的异常用户列表,评分基于其被标记为异常的活动。点击此部件中的任意用户,将打开该用户的异常卡,顶部显示异常趋势,下面为列出贡献该用户风险评分的异常的表格。点击表格中的任何异常消息,将显示异常详情,分为:
按风险评分范围分类和分布的异常用户数量的可视化呈现。
最近触发异常的异常用户列表,包括时间戳及其对应的风险评分。
用户特定异常数量在指定时间范围内的可视化呈现。
手动标记为重点监控的异常用户列表,形成监控列表。
累计风险评分最高的异常用户排序列表。
图 3:ManageEngine Log360 Cloud 中的实体仪表盘
实体 仪表盘与用户 仪表盘 Log360 Cloud 的主页 仪表盘相似,但重点关注机器及其他网络资产。包括: 用户 实体风险评分
实体风险评分分布
包含说明与通常期望行为偏离的具体信息。
适用于相应异常类型,包含关联异常规则、事件时间与详情、用户详情、相关日志源以及解释触发该异常的消息。
最近检测的实体
实体特定异常数量在指定时间范围内的可视化呈现。
监控列表实体
按风险评分排名前十的实体
另请参阅
本文档详细说明了 Log360 Cloud UEBA 异常检测功能提供的仪表盘。要利用 UEBA 的功能,请参考以下文章:
将用户或实体添加到监控列表