基于云的日志管理和事件管理

安全告警的必要性

很多时候，组织意识到他们在攻击后数周或数月就被攻破了。“违规停留时间”如此之长的主要原因是缺乏有效的安全监控措施。在发生安全事件之后，告警可能意味着安全网络与被破坏网络之间的区别。对于安全团队来说，监控日志和设置告警至关重要，这在他们的网络中充当了绊脚石。当攻击者在网络中移动时，他们不可避免地会触发告警，将威胁通知安全团队。

安全告警示例

考虑以下场景：

• 关键服务器上安装了新软件或服务
• 主机意外重启
• 修改了防火墙策略
• 应用程序崩溃
• 重要策略（例如日志记录策略）已更改

此类事件被称为危害指标 (IoC)，必须进行标记和调查，以便在为时已晚之前检测到安全威胁。通过为网络中的多个 IoC 设置告警，您可以最大限度地提高检测安全威胁的机会。

管理事件

一旦发出告警，就必须迅速解决它，以减少恶意行为者进行攻击的时间。迅速的调查和响应可以在早期遏制攻击。安全团队必须确保他们有一个负责的流程来处理他们的监控工具引发的每一个告警。这涉及定义规则，以便将告警自动分配给适当的管理员，以减少响应事件所需的时间。例如，在 SQL 服务器上发出的告警必须自动推送给 SQL 管理员，而不是在很久以后打电话给管理员通知他们该事件。

Log360 Cloud 的告警模块

Log360 Cloud 是基于云的日志管理解决方案，可以监控和保护您的网络。Log360 Cloud 允许您针对感兴趣的安全事件触发和管理告警，以便及早检测攻击。该解决方案附带三类告警配置文件：

• 预定义告警：Log360 Cloud 允许您从一系列预定义告警配置文件中进行选择，以解决常见的安全用例。这使安全团队可以轻松地在部署解决方案后立即设置告警。
• 合规告警：该解决方案附带开箱即用的合规告警配置文件集，可帮助您遵守 PCI DSS、HIPAA、SOX 等法规。
• 自定义告警：您还可以通过定义条件并将它们与逻辑运算符组合来根据您的要求定义自己的告警标准。

使用 Log360 Cloud 集中管理事件

Log360 Cloud 的界面允许您从控制台内管理所有告警；这些告警可以手动或通过定义分配规则自动分配给管理员。告警的状态可以从打开更新到进行中再到关闭以跟踪其解决方案。

此外，Log360 Cloud 可以与 ManageEngine ServiceDesk Plus、ServiceNow、Zendesk 和 Kayako 等帮助台工具集成。这样，可以在中央帮助台工具上以工单的形式发出告警，以简化事件管理过程。