本页内容:
ManageEngine Log360 Cloud使用Zoho的Zia Insights,这是一种由AI驱动的引擎,用于增强日志分析、威胁检测和事件响应。通过利用 上下文AI,Zia Insights将原始日志、安全事件、审计跟踪、警报和事件转化为可操作的洞察,使您能够快速识别风险,获取事件背景、可能的缓解步骤,并通过在可能的情况下将事件映射到MITRE ATT&CK®技术,为有效分析增值。
本节详细介绍Log360 Cloud的Zia Insights的基础架构与功能。Log360 Cloud的Zia Insights能力采用Azure OpenAI的自带密钥(BYOK)模型。通过处理日志、警报和事件,Zia Insights提供上下文摘要,突出潜在风险,将相关活动映射到MITRE ATT&CK®技术,并建议可能的修复步骤。这些洞察帮助安全团队更好地理解事件背景,加速调查,并强化响应策略。
图1:Log360 Cloud的Zia Insights工作流程
当用户在 中选择特定的 日志、警报或事件 Log360 Cloud后,触发Zia Insights引擎开始分析,该工作流程即启动。
调用后, Log360 Cloud 自动检索与所选项目相关的所有数据,包括原始日志、事件元数据、警报背景或事件时间线,具体视用户发起的请求而定。汇集的信息构成 输入层,这是洞察生成过程的关键。
输入层整合了多种安全数据源,包括:
该综合数据集确保Zia Insights拥有生成可操作洞察所需的全部上下文。
收集到相关安全数据后,将其传递给 Zia Insights核心引擎, 该引擎利用 Azure OpenAI 的能力,将 原始数据 转化为上下文洞察。
Zia Insights将检索的数据与一组预定义的指令,即 提示语进行配对。该提示语定义了Zia Insights如何解读数据及输出结构。
接着,Zia Insights通过多个核心组件处理数据:
重建事件时间线,识别关键动作和潜在威胁分类。
使用MITRE ATT&CK®框架将检测到的行为匹配到已知攻击者战术和技术,帮助SOC团队理解潜在威胁阶段。
针对特定场景,提出调查步骤、遏制策略和恢复建议。
处理分析输入数据后, Zia Insights 生成既可操作又具上下文感知的结构化输出。输出的关键组成包括:
上下文摘要
提供事件的时间线、关键指标和影响分析。
基于观察到的行为,Zia Insights将活动映射到相应的MITRE ATT&CK®战术与技术,实现标准化威胁分类,辅助调查和威胁狩猎。
潜在修复措施
Zia Insights提供建议的调查步骤、即时遏制行动和故障排除指导,支持及时且明智的行动。
Log360 Cloud的Zia Insights增强SOC团队的调查过程,有效且快速地缓解或消除威胁。它让SOC专业人士能够:
另请参阅
本文档详细说明了ManageEngine Log360 Cloud中Zia Insights的工作原理及主要用例。有关配置及利用Zia Insights功能,请参阅以下相关文章: