使用 Zia Insights

最后更新于:

概述

Zoho Zia 作为人工智能引擎,通过运用先进的摘要生成、威胁映射及潜在修复方案,从日志、告警和事件中提取情境化洞察。该系统采用全局唯一标识符(UUID)处理日志数据、告警ID处理告警数据、事件ID处理事件数据,经Zia Insights对原始数据进行处理后,可优化威胁检测、调查、修复及合规审计流程。

本页面阐述Zia Insights如何在产品控制台中对事件进行分类、生成洞察并指导响应措施。

Zia提供的核心洞察

Zia Insights 为高效安全运营提供六项关键信息:

日志分类

为加速日志分析并生成修复步骤,Zia Insights 对日志数据进行分类,并根据日志类型提供定制化建议。请参考下表了解 Zia Insights 的日志分类方式、用于分类的检测指标以及各分类对应的模块。

:搜索和告警模块中的所有日志均被分类,若日志属于预定义类别之一,则提供修复步骤。
日志类型 检测指标 提供的洞察
错误和崩溃日志 错误代码、"失败"或"致命"关键词,或堆栈跟踪。应用程序崩溃或导致正常运行中断的服务故障。 故障排除步骤

例如,应用程序崩溃将包括 建议分析崩溃时的应用程序日志以识别任何相关事件,并使用 WinDbg 等工具进行调试以追踪访问违规。

安全日志 授权失败、可疑活动(如用户账户控制UAC修改)或触发的安全告警。 潜在缓解措施

例如, 当Office进程启动PowerShell时,建议调查源文档、通过PowerShell的受限语言模式限制脚本执行,并阻止来自不可信来源的宏。

审计日志 未经授权的访问尝试、审计策略违规或配置变更。 建议

例如,针对审计策略变更的建议包括:对关键审计事件实施严格访问控制和告警机制。

注意:若日志不属于上述任何类别,则不会提供缓解步骤。

摘要

Zia Insight的摘要部分提供日志、事件、告警和事件的简明概览。它通过结构化输入提炼日志和事件的关键信息。对于事件,它会收集证据、备注、活动日志、相关方及基本事件背景等细节以生成摘要。

注意:摘要仅针对通过搜索和告警控制台访问的日志生成。虽然 Zia 提供跨平台的简明概览,但摘要的详细程度可能取决于底层数据的上下文。
Using Zia Insights
图1:基于搜索生成的Zia洞察摘要

洞察

Zia洞察中的洞察板块通过分析触发告警的事件,提供可操作的理解,从而识别关键参与者、源IP与目标IP、用户账户、相关实体、示例系统,并检测可疑行为。

注意:洞察功能仅在从产品的搜索和告警控制台调用Zia洞察时生成。在事件模块中,工作台证据不支持洞察功能。
Using Zia Insights
图2:基于告警数据生成的Zia洞察

时间线

Zia Insights的时间线部分按时间顺序展示与告警或事件相关的关键事件,包括时间戳以及导致事件发生或事件发生后的具体操作或系统行为。这有助于重建攻击链、验证模式并将活动与其他事件相关联。

注意:时间线部分在以下情形下可用:

- 在告警模块中,当告警关联到基于阈值定义的关联规则或告警配置文件时

- 在事件模块中

  1. 关联规则告警是与特定检测规则关联的告警配置文件。它源于多个相关事件或告警的聚合,共同揭示更广泛且更严重的安全事件。

    示例:登录失败后紧接成功登录及新服务安装等事件,表明同一用户的一系列活动。此类事件将显示时间线。

  2. 阈值型告警在特定活动于规定时间内超出预设限值时触发,表明存在潜在可疑行为

    示例:当5分钟内发生10次登录失败时触发告警,可能暗示暴力破解攻击。Zia洞察将以图形化方式展示登录失败的时间线。

Using Zia Insights
图3:Zia Insights事件时间线概览

潜在的MITRE ATT&CK®映射

Zia Insights 将事件和告警与 MITRE ATT&CK® 框架中的已知战术、技术和程序(TTPs)进行映射。这包括将活动映射到对应的战术名称、技术 ID 和技术名称。

注意:潜在的MITRE ATT&CK®映射仅在日志显示可疑或恶意活动时显示。
Using Zia Insights
图4:Zia Insights映射的MITRE ATT&CK®技术

缓解措施指导

基于日志分类,Zia Insights 提供可操作的修复步骤,帮助控制事件、恢复正常运行并降低未来事件发生的风险。建议会根据日志类型(如崩溃、错误、审计和安全日志)进行定制。

Using Zia Insights
图3:Zia Insights事件时间线概览

另请参阅

本文详细阐述了 Zia Insights 的概述、核心洞察及应用场景。若需配置并充分利用 Zia Insights 的功能,请参阅以下文章: