什么是关联分析
 
通过关联搜索把分散在多个设备、系统上的数据串联起来,解决单一属性/来源的日志
无法识别异常行为、无法溯源安全事件、无法定位系统故障的问题
 
通过关联搜索把分散在多个设备、系统上的数据串联起来,
解决单一属性/来源的日志无法识别异常行为、无法溯源安全事件、
无法定位系统故障的问题
为什么需要关联分析
单一属性的日志,无法识别异常行为
·判断一个行为是否异常,一般都需要由多个判断条件组合而成。
·每个判断条件分散在不同的日志中,需要关联起来才能进行判断。
单一来源的日志,无法定位业务故障
·一个完整的业务经常由多个系统组成。
·运维人员发现业务故障时,要查看每一个系统上的交易志,还原业务的流程,才能找到故障的原因。
单一来源的日志,无法溯源安全事件
·通常来说,一个安全事件会在多个对象上留下痕迹。
·单个对象的日志只是事件的一部分,需要把多个日志串联起来分析,才能帮助用户找到事件源头。
应用场景
-
识别文档泄密行为
- 文档中心的文件泄密
- 从受信任终端上传、被非受信任终端下载
- AnyRobot 判断异常行为
- AnyRobot 触发异常行为告警
-
溯源高危删库行为
- Oracle 数据库的数据遭到恶意删除
- 黑客通过虚拟桌面连接到数据库
- AnyRobot 查找删库用户的客户端 IP
- AnyRobot 找到虚拟桌面 IP 对应的用户
-
定位系统故障原因
- 无纸化办公系统出现故障
- AnyRobot 发现可疑用户
- AnyRobot 排查可疑用户的操作行为
-
还原业务流程发现异常
- 银行客户手机银行查询的交易明细与存折记录不同
- 排障需要找到系统数据表,结合网银日志和数据库
- AnyRobot 找到交易信息和转发信息
- AnyRobot 找到出错的数据表并予以修正
关联分析的特性价值
定位系统故障
关联故障相关的所有日志数据,快速定位问题,分析故障根本原因     
关联故障相关的所有日志数据,快速定位问题,分析故障根本原因
识别异常行为
关联操作日志和用户信息,识别异常的用户行为,溯源高危的操作行为,实现事中告警、事后溯源
关联操作日志和用户信息,识别异常的用户行为,溯源高危的操作行为,实现事中告警、事后溯源
还原事件流程
串联事件相关的日志,还原业务流程,找到事件异常原因
串联事件相关的日志,还原业务流程,找到事件异常原因