EventLog Analyzer提供了幾個選項來自定義報表。根據您的要求,您可以使用新的報表配置檔案建立新的自定義報表。除了新的自定義報表之外,還可自定義現有的預建(預填充)報表以滿足您的需求。通過使用這些自定義報表,由于報表已針對特定資料進行删減,是以管理者可以輕松進行日志分析。
EventLog Analyzer
一、自定義報表
根據特定的事件篩選器,從標明的一組裝置上建立關于事件日志的新報表。
二、自定義現有報表
EventLog Analyzer允許您自定義報表。有了此功能,您将能夠修改預建報表以滿足您的要求。如果它适合您的要求,您可以自定義現有的預建報表,而無需建立自己的自定義報表。
自定義報表
三、将搜尋轉換為告警配置檔案以快速減輕攻擊
SIEM解決方案的基本組成部分之一是其告警工具。實時告警讓您可以完全控制網絡中發生的重要事件,是以您不僅可以更快地解決問題,還可在安全威脅造成任何實際損害之前處理這些威脅。除了實時短信和電子郵件告警外,EventLog Analyzer還允許您在告警觸發時運作腳本,以便您可以立即開始減輕攻擊。
SIEM解決方案
每次攻擊都遵循一種模式,通過EventLog Analyzer,您可以在搜尋查詢中捕獲該模式,并将其儲存為告警配置檔案。這樣,當網絡中發生特定的事件模式時,您會實時收到告警。關注感興趣的安全事件,以減少檢測和響應安全操作中心的安全威脅所需的時間。
四、将搜尋查詢儲存為告警配置檔案
日志搜尋讓您能夠深入檢視大量日志并找到您所需的資訊。使用EventLog Analyzer,您可以輕松地将搜尋查詢儲存為告警配置檔案。
例如,假設您輸入查詢A="x" and B="y" and C="z"。您可以将此搜尋查詢儲存為告警配置檔案,當在網絡中出現A="x" and B="y" and C="z"時,系統會實時通知您。這是事件的靜态關聯。
通過電子郵件或短信獲得通知,甚至在觸發告警時選擇運作腳本。調整觸發條件,例如在特定時間間隔内發生某事件的次數,這樣便僅在您想要發生告警時才會觸發告警。告警配置檔案是使用裝置日志來減輕威脅的基本部分。