安全事件名称;模糊匹配方式,比如包含、等于、等;
设备地址;地址匹配方式,比如等于;
设备类型名称;模糊匹配方式,比如包含、等于、等;
源地址;地址匹配方式,比如等于;
源端口;数字匹配方式,比如等于、大于、等;
目的地址;地址匹配方式,比如等于;
目的端口;数字匹配方式,比如等于、大于、等;
B.事件处理方式
安全事件过滤完成后,需要进行进一步的处理,这种处理是对满足过滤条件的事件响应方式,安全事件的过滤响应方式至少应包括以下方式:
l .丢弃:直接对满足条件的安全事件丢弃,不再写入数据库,也不再进一步处理;
写入数据库:对满足条件的安全事件存入数据库,作进一步的处理;
4. 原始事件归并标准化。
对于过滤后的安全事件,仍然存在很多重复或者相似的事件。所以事件数据标准化的第四个方面是对事件进行归并。归并规则,就是在什么情况下,满足什么条件,对哪些字段进行归并。
事件归并功能可以对海量的安全事件依据归并条件进行归并,达到简化安全事件,提高安全事件准确率。
A. 安全事件归并规则应该包含以下属性
归并规则名称:对过滤规则的描述;
归并条件:设定安全事件应该满足的条件;
归并字段:归并处理的事件字段,所列字段内容相同的事件才进行归并,比如安全事件的名称,设备地址等事件基本属性;
归并时间:归并事件的时间窗口,指多长时间进行一次归并;
归并数目:需要归并事件的数量,指多少事件进行一次归并;
对被归并事件的处理方式:被归并的事件以何种方式进行处理;
B. 被归并事件的处理方式
阻塞方式:直接将被归并事件全部丢弃,不写入数据库;
非阻塞方式:将被归并事件全部写入数据库;
C. 可定义的归并策略如下
根据事件名称进行归并分析;
根据事件类型进行归并分析;
根据源进程进行归并分析;
根据目标进程进行归并分析;
根据攻击源进行归并分析;
根据攻击目标地址进行归并分析;
根据事件原始时间进行归并分析;
根据受攻击设备类型进行归并分析。
