本页内容:
ManageEngine Log360 Cloud 利用 Zoho Zia 这一 AI 引擎,通过先进的摘要、威胁映射与可能的补救措施,从日志、警报及事件中提供上下文相关的洞察。使用 通用唯一标识符(UUID) 作为日志标识, 警报 ID 作为警报数据标识,以及 事件 ID 作为事件数据标识,Zia 洞察处理原始数据,以简化威胁检测、调查、补救和合规审计。
本页介绍了 Zia 洞察如何对事件进行分类、生成洞察及指导 Log360 Cloud 内的响应操作。
Log360 Cloud 的 Zia 洞察提供六大关键信息,助力有效的安全运营。包括:
为加快日志分析并生成补救步骤,Log360 Cloud 的 Zia 洞察根据日志类型对日志数据进行分类,并提供针对性的建议。请参阅下表,了解 Zia 洞察如何分类日志,使用的检测指标及分配给每个类别的模块。
| 日志类型 | 检测指标 | 提供的洞察 |
|---|---|---|
| 错误和崩溃日志 | 错误代码、包含“failed”或“fatal”的关键字,或堆栈跟踪。应用崩溃或服务故障导致正常操作中断。 | 故障排除步骤
例如, 应用崩溃 将包含在崩溃时分析应用日志的建议,以识别相关事件,并使用如 WinDbg 等工具调试访问违规。 |
| 安全日志 | 授权失败、用户账户控制(UAC)修改等可疑活动,或触发的安全警报。 | 潜在缓解措施
例如, 办公流程启动 PowerShell 将建议调查源文档,使用 PowerShell 的受限语言模式限制脚本执行,并阻止不受信任来源的宏。 |
| 审计日志 | 非法访问尝试、审计策略违规或配置变更。 | 建议措施
例如, 审计策略变更 将建议执行严格的访问控制和关键审计事件的告警机制。 |
| 异常警报 | 异常登录时间或可疑登录 | 异常缓解指导
例如, Windows 异常登录 将建议重置凭据并限制登录时间至批准的时间段。 |
Zia 洞察 摘要 部分提供日志、事件、警报和事件的简明概览。通过结构化输入提炼日志及事件中的关键信息。对于事件,它收集证据、备注、活动日志、相关方及基本事件上下文,生成摘要。
图 1:来自搜索的 Zia 洞察摘要
Zia 洞察中的 洞察 部分提供基于对导致警报事件分析而得出的可操作洞察,帮助识别关键行为者、源和目标 IP、用户账户、相关实体、示例系统及检测可疑行为。
图 2:基于警报数据由 Zia 生成的洞察
Zia 洞察的时间线部分按时间顺序展示与警报或事件相关的关键事件,包括时间戳及导致或随后发生的具体操作或系统行为,有助于重构攻击链、验证模式并将活动与其他事件关联。
示例:登录失败后成功登录及新服务安装等事件,表示同一用户的一系列活动。这些事件将显示时间线。
示例:当 5 分钟内登录失败达 10 次时,生成警报,可能暗示暴力破解攻击。Zia 洞察将图形化显示登录失败时间线。
图 3:Zia 洞察事件时间线概览
Log360 Cloud 的 Zia 洞察将事件与 MITRE ATT&CK® 框架中的已知战术、技术和流程(TTP)映射,包括映射至对应的 战术名称、技术 ID 和技术名称。
图 4:Zia 洞察映射的 MITRE ATT&CK® 技术
基于 日志分类, Log360 Cloud 的 Zia 洞察提供可操作的补救步骤,帮助遏制事件、恢复正常操作并降低未来风险。建议针对崩溃、错误、审计、异常和安全等不同日志类型定制。
图 5:Zia 洞察建议的缓解措施
另请参阅
本文档详细介绍了 ManageEngine Log360 Cloud 中 Zia 洞察的概述、关键洞察及应用案例。有关配置和利用 Zia 洞察功能,请参阅以下文章: