如何利用日志相關性實時監測網絡攻擊？

網絡攻擊的方式是不斷變化且不可預知的。雖然傳統的破解賬戶密碼行為仍主要是暴力攻擊，但用來攻擊加密數據的勒索軟件攻擊行為卻變得越來越多樣化。此外，也存在一些來自攻擊者的其他威脅，如創建后門帳戶，或提出惡意請求來破壞Web服務器。跟蹤各種攻擊很困難，但把它們分解成幾個具體步驟就能夠總結出一些常見攻擊的活動模式。相關性是在日志數據中尋找這些模式的良好方法。

通過日志數據相關性監測復雜的攻擊

ManageEngine EventLog Analyzer的相關性引擎能夠將來自網絡的源日志關聯起來，以便即時發現在不同日志源上發生的攻擊模式。一旦監測到攻擊，相關性模塊會發出實時電子郵件或短信通知，在您的幫助臺中創建新的工單以確保問責完善，并提供多方位的事件報表，匯總相關事件以加速補救措施。EventLog Analyzer目前提供25種預定義的攻擊規則，它還提供了創建或更新攻擊定義的功能，以適應您的業務環境并盡量減少誤報。

如何監測惡意URL請求

EventLog Analyzer集中存儲和分析Web服務器日志，如IIS和Apache服務器日志。然后通過日志數據監測在URL參數中使用惡意數據的HTTP請求。默認情況下，如果在兩分鐘內發出5個此類惡意請求，所有源代碼都來自同一個源IP地址，EventLog Analyzer會發出告警并創建帶有惡意請求詳細信息的報表。如果此閾值產生過多誤報或錯過真正的攻擊，您可以自定義此閾值以適應您的網絡。

如何監測暴力攻擊

EventLog Analyzer掃描具有高優先級的關鍵服務器和工作站的登錄事件。默認情況下，解決方案的相關性引擎識別單個設備何時在10分鐘內經歷10次失敗的登錄，然后在下1分鐘內成功登錄。如果它監測到這樣的攻擊，會發出告警并創建一個詳細說明違反的設備和登錄事件的報表。

如何監測異常用戶帳戶創建

EventLog Analyze監視您網絡設備中的特權用戶活動。它的相關性引擎通過識別在一個小時內創建和刪除的用戶帳戶來發現特權用戶活動中的異常。合法賬戶是有計劃地被創建或刪除的，所以在短時間內創建和刪除一個隨機賬戶則是可疑的。EventLog Analyzer一旦檢測到異常用戶帳戶，就實時發出告警，生成事件報表，該報表包含異常帳戶和用于創建該異常帳戶的特權帳戶的詳細信息。

如何監測可疑的勒索軟件活動

EventLog Analyzer審計所有Windows系統上的文件操作。勒索軟件攻擊通常是在新啟動的進程中修改網絡設備上的多個文件，這些都是為了加密文件，所以EventLog Analyzer的相關性引擎尋找在啟動后5分鐘內修改文件的進程。如果一個進程在接下來的半小時內修改至少15個文件，EventLog Analyzer會發出告警，并創建一個事件報表來標識事件進程和受影響的文件。

EventLog Analyzer如何監測可疑的蠕蟲活動

蠕蟲傳播速度很快，它會在各種網絡設備上快速安裝一個未經授權的服務用于傳播活動。EventLog Analyzer聚合來自Windows設備的系統事件。EventLog Analyzer的相關性引擎通過檢測在15分鐘內安裝在網絡上至少5個設備上的單個服務來實現這一點。該解決方案可以發出即時告警，并生成關于惡意程序和受感染系統的深入報表，以便快速采取糾正措施，并防止感染其他設備。

電話：4006608680

網址：www.manageengine.cn

關注微信