Log360 Cloud 中用户与实体行为分析（UEBA）的异常报告和警报

本页内容

• 概述
• 异常报告
• 查看报告
• 显示或隐藏报告
• 异常报告中的信息性警报消息
• 警报
• 启用与管理警报

概述

本页详细说明如何访问各种报告以有效进行异常调查，如何将警报配置文件与 Log360 Cloud 中检测到的异常关联，以及如何管理和自定义警报。

异常报告

Log360 Cloud 的 UEBA 异常报告通过基于相关异常规则对每个检测到的异常提供详细信息，进一步提升异常调查效率。这些报告可从 关联 选项卡中访问，包含以下内容：

• 关联异常数据的图形表示，位于摘要视图下。 摘要表格：
• 每个选中规则的快速参考统计，分类包含时间、日志源、用户名、实体类型、异常类型、异常消息、异常实体，并提供在仪表板视图组件中查看异常详细信息的选项。 与异常相关的事件。
• 这些报告可导出为 PDF 或 CSV 格式，以便进一步离线分析或与其他团队共享。

结合报告与仪表板分析视图，Log360 Cloud 使组织能够结构化地调查和理解环境中的异常行为。

图片 1：ManageEngine Log360 Cloud 中的异常报告

查看与异常规则相关报告的步骤：

查看报告

导航至

1. 选项卡。 关联 点击后，左侧面板将显示不同的
2. 基于规则的报告 （如果左侧面板隐藏，点击 图标展开左侧面板）。向下滚动查看 异常报告 图片 2：ManageEngine Log360 Cloud 中查看异常报告.



点击相应的报告类别，规则报告完整列表的下拉菜单将展开。

3. 点击所需的具体报告，即可查看报告内容。
4. 根据规则状态，用户将看到三种信息性警报消息：

异常报告中的信息性警报消息

如果规则处于激活状态但尚未生成异常：

1. 图片 3：ManageEngine Log360 Cloud 中异常报告的信息性警报



此时规则处于激活状态，但尚未触发异常，因此未生成报告。

如果规则未激活：

2. 图片 4：ManageEngine Log360 Cloud 中异常报告的信息性警报



如上所示，您可以通过以下步骤激活该异常规则：

点击

1. “启用异常规则”按钮。系统将带您到异常规则完整列表。
2. 在列表中搜索该规则，前往
3. “规则状态”列，将鼠标悬停在“未激活”按钮上，激活选项将出现，如下所示。点击“激活”。操作完成后，将短暂弹出如下窗口。



4. 之前激活的异常规则现处于未激活状态：图片 5：ManageEngine Log360 Cloud 中异常报告的信息性警报此异常规则此前处于激活状态，且曾生成报告，后被停用。对于此类规则，用户可以查看规则激活期间生成的报告，若要继续生成报告，必须手动激活规则。

3. 关于如何激活异常规则，请参见：



使用异常规则

显示或隐藏预定义和自定义异常规则的报告

每条规则都会关联一个查看异常数据的报告。用户可以选择显示或隐藏所选规则对应的报告。 显示/隐藏报告的步骤：

进入

选项卡，在左侧面板点击

“管理规则”

1. 图片 6：ManageEngine Log360 Cloud 中显示/隐藏异常报告 关联 现有规则列表展示。点击列表上方的 “异常规则”.



子选项卡。

2. 图片 7：ManageEngine Log360 Cloud 中显示/隐藏异常报告 在规则列表中搜索规则，前往包含复选框的 “显示/隐藏报告”



列。

3. 若要 显示 报告，点击当前未勾选（表示报告当前隐藏）的复选框，使其变为
4. 。您可以同时选择多个报告显示。 操作完成后，将出现如下弹窗。 同样，若要 隐藏 报告，点击当前勾选（表示报告当前显示）的复选框，使其变为
5. 。您可以同时选择多个报告隐藏。



6. 另外，在停用异常规则时，会弹出确认操作窗口，允许您同步隐藏该规则关联的报告。 关于如何停用异常规则，请阅读： 启用与停用预定义及自定义异常规则 在 Log360 Cloud 的 UEBA 中，一旦检测到网络异常，安全管理员将收到警报。启用此功能后，安全团队能够实时监控异常活动，及时采取行动，从而实现主动的网络安全监控。警报可以启用为
7. 。您可以同时选择多个报告隐藏。



产品内通知

以及 Activating and Deactivating rules for both pre-defined and custom anomaly rules in 显示/隐藏报告的步骤：

警报

Log360 Cloud's UEBA alerts the security admins whenever anomalies are detected in the network. By enabling this function, security teams can take a proactive approach towards network security monitoring by staying informed about unusual activities in real time and taking prompt action. Alerts can be enabled as in-product notifications and 电子邮件警报 也是如此，并根据严重性和消息内容进行定制。

设置异常警报

对于所有异常规则，警报默认情况下是 禁用的， 用户必须 手动激活 它们才能收到通知。

了解更多关于 创建警报配置文件

启用/禁用警报

。您可以同时选择多个报告显示。 启用 要在 Log360 Cloud UEBA 中为异常规则启用警报，该规则必须已处于活动运行状态。若要了解如何在 Log360 Cloud UEBA 中激活异常规则，请阅读 显示/隐藏报告的步骤：.

启用异常规则警报的步骤：

1. 图片 6：ManageEngine Log360 Cloud 中显示/隐藏异常报告 关联 现有规则列表展示。点击列表上方的 “异常规则”.



图片 8：在 ManageEngine Log360 Cloud 中启用异常警报

2. 图片 7：ManageEngine Log360 Cloud 中显示/隐藏异常报告 在规则列表中搜索规则，前往包含复选框的 “显示/隐藏报告”



图片 9：在 ManageEngine Log360 Cloud 中启用异常警报

3. 导航到您希望启用警报的规则列表中的规则，进入 “警报配置文件” 列。
4. 点击当前为空的 复选框（表示该规则的警报被禁用），切换为 .
5. 该规则的警报现已启用。

另外，在停用异常规则时，会弹出确认操作窗口，允许您同步隐藏该规则关联的报告。 禁用 若要禁用任何异常规则的警报，请点击当前已选中的 复选框（表示警报已启用），切换为 警报已成功禁用该异常规则。

接收警报

Log360 Cloud 通过以下两种方式向用户发送警报：

• 产品内通知： 可通过控制台中的 警报 页面访问。
• 电子邮件通知： 发送给配置的收件人。这些通知可以自定义主题以及邮件中的消息内容。

了解更多关于 设置警报的电子邮件通知

管理警报

用户可以在 Log360 Cloud 中管理或创建自定义警报配置文件，以在检测到异常时接收通知。他们可以定义警报名称、设置严重性级别、选择发送方式，还可以根据企业的安全和合规需求定制警报消息。

如需更详细的 Log360 Cloud 中创建和管理警报配置文件指南，请阅读 警报 帮助手册。

另请阅读

本文档详细说明了如何访问和利用异常报告进行调查，以及如何为 Log360 Cloud 的 UEBA 中的异常检测设置警报。有关利用 UEBA 功能，请参阅以下文章：

• Log360 Cloud 中的 UEBA 是什么
• UEBA 中的异常规则
• 异常调查