使用 Zia Insights
最后更新于:
本页面内容
概述
Zoho Zia 作为人工智能引擎,通过运用先进的摘要生成、威胁映射及潜在修复方案,从日志、告警和事件中提取情境化洞察。该系统采用全局唯一标识符(UUID)处理日志数据、告警ID处理告警数据、事件ID处理事件数据,经Zia Insights对原始数据进行处理后,可优化威胁检测、调查、修复及合规审计流程。
本页面阐述Zia Insights如何在产品控制台中对事件进行分类、生成洞察并指导响应措施。
Zia提供的核心洞察
Zia Insights 为高效安全运营提供六项关键信息:
日志分类
为加速日志分析并生成修复步骤,Zia Insights 对日志数据进行分类,并根据日志类型提供定制化建议。请参考下表了解 Zia Insights 的日志分类方式、用于分类的检测指标以及各分类对应的模块。
| 日志类型 | 检测指标 | 提供的洞察 |
|---|---|---|
| 错误和崩溃日志 | 错误代码、"失败"或"致命"关键词,或堆栈跟踪。应用程序崩溃或导致正常运行中断的服务故障。 | 故障排除步骤
例如,应用程序崩溃将包括 建议分析崩溃时的应用程序日志以识别任何相关事件,并使用 WinDbg 等工具进行调试以追踪访问违规。 |
| 安全日志 | 授权失败、可疑活动(如用户账户控制UAC修改)或触发的安全告警。 | 潜在缓解措施
例如, 当Office进程启动PowerShell时,建议调查源文档、通过PowerShell的受限语言模式限制脚本执行,并阻止来自不可信来源的宏。 |
| 审计日志 | 未经授权的访问尝试、审计策略违规或配置变更。 | 建议
例如,针对审计策略变更的建议包括:对关键审计事件实施严格访问控制和告警机制。 |
摘要
Zia Insight的摘要部分提供日志、事件、告警和事件的简明概览。它通过结构化输入提炼日志和事件的关键信息。对于事件,它会收集证据、备注、活动日志、相关方及基本事件背景等细节以生成摘要。
洞察
Zia洞察中的洞察板块通过分析触发告警的事件,提供可操作的理解,从而识别关键参与者、源IP与目标IP、用户账户、相关实体、示例系统,并检测可疑行为。
时间线
Zia Insights的时间线部分按时间顺序展示与告警或事件相关的关键事件,包括时间戳以及导致事件发生或事件发生后的具体操作或系统行为。这有助于重建攻击链、验证模式并将活动与其他事件相关联。
- 在告警模块中,当告警关联到基于阈值定义的关联规则或告警配置文件时
- 在事件模块中
- 关联规则告警是与特定检测规则关联的告警配置文件。它源于多个相关事件或告警的聚合,共同揭示更广泛且更严重的安全事件。
示例:登录失败后紧接成功登录及新服务安装等事件,表明同一用户的一系列活动。此类事件将显示时间线。
- 阈值型告警在特定活动于规定时间内超出预设限值时触发,表明存在潜在可疑行为
。 示例:当5分钟内发生10次登录失败时触发告警,可能暗示暴力破解攻击。Zia洞察将以图形化方式展示登录失败的时间线。
潜在的MITRE ATT&CK®映射
Zia Insights 将事件和告警与 MITRE ATT&CK® 框架中的已知战术、技术和程序(TTPs)进行映射。这包括将活动映射到对应的战术名称、技术 ID 和技术名称。
缓解措施指导
基于日志分类,Zia Insights 提供可操作的修复步骤,帮助控制事件、恢复正常运行并降低未来事件发生的风险。建议会根据日志类型(如崩溃、错误、审计和安全日志)进行定制。
另请参阅
本文详细阐述了 Zia Insights 的概述、核心洞察及应用场景。若需配置并充分利用 Zia Insights 的功能,请参阅以下文章: