在Log360 Cloud中向用户和实体行为分析(UEBA)的观察列表添加用户和实体
本页内容
概述
本页详细介绍了Log360 Cloud异常检测组件中用户和实体观察列表,以及如何从各自的观察列表中添加或删除用户和实体。
观察列表
观察列表是针对被识别为可能具有更高安全风险或表现出异常行为的特定用户或实体的精选列表。这些用户或系统被列入观察列表,以便比普通群体进行更密切、更有针对性的监控。
UEBA中观察列表的关键方面:
- 有针对性的监控: 它允许安全团队 优先考虑 对触发警报、显示异常活动模式或根据风险评估或内部政策被认为值得关注的用户或实体进行监控。
- 语境意识: 观察列表可以基于多种因素创建和填充,例如离职员工、调查中的个人、特权账户或处理敏感数据的系统。此举为监控过程增添了重要的上下文。
- 主动风险管理: 通过密切跟踪这些潜在风险用户和实体,安全团队旨在主动识别并缓解潜在威胁,防止其升级为安全事件。
本质上,UEBA中的观察列表充当了针对因现有怀疑或较高风险水平而需重点关注的用户或系统的聚焦监控机制。
向观察列表添加用户和实体
用户和实体的观察列表可通过Home仪表板上的各自标签查看和访问。观察列表在左侧窗格中分别位于 用户风险评分 和 实体风险评分下。
添加或删除观察列表中的用户
用户和实体可以从 观察列表 中添加,操作界面为 用户 和 实体 仪表板,位于Log360 Cloud的 首页 要
- 添加 用户到观察列表,从用户仪表板中,在 仪表板左侧窗格,点击用户姓名旁的空书签 观察列表 图标,将用户添加到观察列表中。 用户 表示该用户已成功添加到观察列表。
要 观察列表.
删除 观察列表.- 添加 观察列表中的用户,可以点击 图标切换为 图标,用户将被移出观察列表。 添加或删除观察列表中的实体
要添加实体到观察列表,从实体仪表板中,在
- 添加 用户到观察列表,从用户仪表板中,在 仪表板左侧窗格,点击实体名称旁的空书签图标,将其添加到观察列表。 观察列表 表示该实体已成功添加到观察列表。 实体 要从观察列表 中删除实体,可以点击 观察列表.
- 图标,实体将被移出观察列表。 观察列表.
- 添加 观察列表中的用户,可以点击 Log360 Cloud提供了从仪表板观察列表中隐藏异常用户和实体的选项。 观察列表 隐藏仪表板中用户的步骤: 图标,用户将被移出观察列表。 导航到 观察列表.
从仪表板隐藏用户或实体
用户风险评分
组件,在用户仪表板中。
- 图片1:ManageEngine Log360 Cloud中的用户仪表板 滚动并搜索要隐藏的用户。为加快搜索,可点击搜索 图标后在搜索框中输入用户名。 注意.
:只能在鼠标悬停在组件上时,通过管理组件设置访问搜索图标。
- 找到用户后,点击包含用户详细信息的条带以展开异常用户详细信息视图。 在展开视图框中,点击 从仪表板隐藏
,如图所示。图片2:ManageEngine Log360 Cloud中从仪表板隐藏用户
- 在确认框中,点击
- 是 操作完成后,将弹出如下提示窗口。 隐藏仪表板中实体的步骤:
实体风险评分
- 实体仪表板 图片3:ManageEngine Log360 Cloud中的实体仪表板滚动并搜索要隐藏的实体。为加快搜索,可点击搜索图标后在搜索框中输入实体用户名。 找到实体后,点击包含实体详细信息的条带,展开异常实体详细信息视图。.
- 图片4:ManageEngine Log360 Cloud中从仪表板隐藏实体
取消隐藏/查看仪表板中隐藏的用户或实体
- 图片1:ManageEngine Log360 Cloud中的用户仪表板 查看和/或取消隐藏仪表板用户的步骤: 图标后在搜索框中输入用户名。 图片5:ManageEngine Log360 Cloud中的用户仪表板.
点击
- 筛选器
- Once the entity is found, click on the ribbon containing the entity details to access the expanded view of the anomalous entity details.
- 是 操作完成后,将弹出如下提示窗口。 隐藏仪表板中实体的步骤:
Image 4: Hide entity from dashboard in ManageEngine Log360 Cloud
- 实体仪表板 图片3:ManageEngine Log360 Cloud中的实体仪表板滚动并搜索要隐藏的实体。为加快搜索,可点击搜索图标后在搜索框中输入实体用户名。 找到实体后,点击包含实体详细信息的条带,展开异常实体详细信息视图。.
- 图片4:ManageEngine Log360 Cloud中从仪表板隐藏实体
Unhide/view hidden users or entities from dashboard
Steps to view and/or unhide a user from the dashboard:
- 图片1:ManageEngine Log360 Cloud中的用户仪表板 滚动并搜索要隐藏的用户。为加快搜索,可点击搜索 图标后在搜索框中输入用户名。 注意.
Image 5: Users dashboard in ManageEngine Log360 Cloud
- Click on the filter 来自管理小部件选项的图标。
,如图所示。:仅当您将鼠标悬停在小部件上时,才可以在管理小部件设置中访问过滤器图标。
- Click on the 隐藏用户 过滤器中的选项。
注意: 该 用户风险评分 过滤器中的选项将带您返回 用户风险评分 小部件的默认视图。
- 找到隐藏用户后,点击包含用户详细信息的条带,以访问异常用户详细信息的扩展视图。
- 是 在仪表板中显示 隐藏仪表板中实体的步骤:
图像6:在ManageEngine Log360 Cloud中在仪表板中取消隐藏用户
- 实体仪表板 图片3:ManageEngine Log360 Cloud中的实体仪表板滚动并搜索要隐藏的实体。为加快搜索,可点击搜索图标后在搜索框中输入实体用户名。 找到实体后,点击包含实体详细信息的条带,展开异常实体详细信息视图。.
- 图片4:ManageEngine Log360 Cloud中从仪表板隐藏实体
在仪表板中查看和/或取消隐藏实体的步骤:
- 图片1:ManageEngine Log360 Cloud中的用户仪表板 查看和/或取消隐藏仪表板用户的步骤: 图标后在搜索框中输入用户名。 图片5:ManageEngine Log360 Cloud中的用户仪表板.
图像7:ManageEngine Log360 Cloud中的实体仪表板
- Click on the filter 来自管理小部件选项的图标
- Click on the 隐藏实体 过滤器中的选项。
注意: 该 实体风险评分 过滤器中的选项将带您返回 实体风险评分 小部件的默认视图。
- 找到隐藏实体后,点击包含实体详细信息的条带,以访问异常实体详细信息的扩展视图。
- 是 在仪表板中显示 隐藏仪表板中实体的步骤:
图像8:在ManageEngine Log360 Cloud中在仪表板中取消隐藏实体
- 实体仪表板 图片3:ManageEngine Log360 Cloud中的实体仪表板滚动并搜索要隐藏的实体。为加快搜索,可点击搜索图标后在搜索框中输入实体用户名。 找到实体后,点击包含实体详细信息的条带,展开异常实体详细信息视图。.
- 图片4:ManageEngine Log360 Cloud中从仪表板隐藏实体
另请参阅
本文档提供了一个简单而详细的分步指南,用于在Log360 Cloud的UEBA中添加用户和实体到观察列表以进行异常检测。有关利用UEBA功能的更多信息,请参阅以下文章:
