|
Post by account_disabled on Apr 4, 2024 7:07:56 GMT
接器收集此类事件后可以以结构化形式呈现它们。还值得注意的是有时供应商会为源的文本表示提供不同的事件格式模板选择并且在日志中记录的形式将取决于它们。选择事件格式时要注意什么如果来源允许要检测恶意活动事件的一个非常重要的属性是其完整性。事件发生的细节越多分析和后续判断的机会就越多。一些系统允许用户选择事件格式。这可以是系统设置面板中的一个参数允许您选择事件的文本表示格式也可以是更复杂的配置选项需要在公司基础设施内配置和支持源的员工执行其他操作。 在某些情况下呈现事件的不同格式包含不同数量的数据某些格式包含有关所发生事件的完整数据列表这些数据位于 阿曼数据 系统部分。有时候这种情况会发生可能会丢失对后续分析非常有用的那部分数据。通常在配置源日志记录子系统时他们会采取更简单的路径他们选择更容易更快速配置的选项。但更简单更快并不总是意味着更好。通过选择更全面的事件格式您稍后可以使用这些附加数据来编写新的检测或提高现有检测的准确性从而为操作员提供额外的调查背景。规范化事件应该是什么样子规范化事件应该是什么样子是由事件字段模式描述的事件字段模式是。 组字段及其有效值用于存储事件在处理的所有阶段的信息。从整体上看可以区分出几个大块在事件中观察到的主客体交互的描述可以理解为主体对客体执行了动作或与客体相关结果为。例如已成功创建新用户。网络层面交互各方的描述我们在事件中观察到哪些节点其中哪些是交互的源头哪些是目的地。例如当在一个事件中节点是与节点连接的发起者我们认为第一个是交互的源缩写为第二个是交互的目的地目的地缩写为。事件源的描述它可以是我们在事件中观察到的交互的参与方之一也可以是仅作为正在发生的事件的观察者的单独节点。
|
|