您现在所在位置:主页 > 服务器安全 >

服务器防护_防御ddos价格_如何防

更新时间:2021-07-23

服务器防护_防御ddos价格_如何防

当谈到相关功能时,LogRhythm已经介绍过了。使用AI引擎,您可以执行各种活动,从观察单个活动到跨多个维度(实体、设备、日志源、元数据等)应用高级行为规则。除了一些更明显的功能之外,防御ddos关闭哪些端口,我在这里向您介绍一个人工智能引擎的未知特性,称为时间链规范化(Temporal Chain Normalization,TCN)。让我们来研究一下TCN并了解它到底是什么(除了听起来非常酷)。时间链规范化解释TCN最好的方法是通过一个例子。以一个简单的关联活动为例:如果我们看到事件a后跟事件B,那么我们将生成一个警报。单击图像以查看更大的图像注意:规范化的时间戳(绿色)是从日志消息本身提取的。他们不依赖收集时间。这种逻辑被logrymethy Security Intelligence and Analytics Platform中的许多预先构建的规则使用(例如,暴力攻击:多次登录失败[Event A],然后是登录成功[Event B])挑战电脑会说谎听到这些你不会感到惊讶,但不幸的是,计算机、用户,甚至互联网,并不总是百分之百的一致或可靠。网络延迟、系统停机、hawking辐射和其他异常都会影响审计和日志数据的收集速度。假设您有一个关联规则来查找攻击(事件a)和妥协(事件B)。但是,cc防御方案,当实际发生攻击时,由于网络中断,日志会被无序接收。那会怎么样?什么也没发生。没有警报,这是个问题。正如您在下面看到的,收集时间戳(红色)显示事件B是在事件A之后收到的;因此,没有生成警报。组织不应该假定在其环境中生成的所有数据都被分配了一个与整个IT环境中的各种数据源和日志记录机制相关的精确时间戳。完全不同的时间戳会导致数据的求值顺序混乱,从而影响实时事件识别和响应。收集用于分析的日志和机器数据可能与事件实际发生的时间不同,原因有很多!解决方案使日志正常化并重新排序除非您有一个安全信息和事件管理(SIEM)平台,能够对无序日志消息进行规范化和重新排序,否则您将错过重要的警报。好消息?logrymethy安全情报平台可以用TCN做到这一点。时间链规范化让我们从简单的事情开始。下面是一个AI引擎规则,它先查找事件A,然后再查找事件B。为了简单起见,我生成了两个唯一的Windows事件,并希望看到事件ID 4321后跟事件ID 4322。注意:由于这是一个演示规则,它只在规则块1的已知主机上分组(因为我将从两个不同的主机生成事件a和事件B)。使用一个简单的脚本,我按照正确的时间顺序生成了事件a(在主机3上)和事件B(在主机4上)来验证规则是否按预期工作:$now=获取日期写入事件日志–日志名称应用程序–源"应用程序"–条目类型信息–事件ID 4321–消息$now睡眠60$now=获取日期写入EventLog–LogName Application–源"Application"–EntryType Information–EventID 4322–Message$now正如预期的那样,当事件A和事件B按正确的顺序生成和收集时,将触发结果警报。单击图像以查看更大的图像接下来我又做了同样的测试。但是这次我停止了运行在主机3上的logrymetry收集器,然后继续生成事件A(在主机3上)和事件B(在主机4上),然后等待一分钟再次启动主机3上的收集器。这使得收集的日志顺序实际上是事件B后事件A,而不是事件A后事件B。下面是上面的详细步骤:主机3停止LogRhym Collector服务生成事件A(vmid 4321)主机4生成事件B(vmid 4322)主机3等待60秒启动LogRhy Collector服务这是由此产生的警报。注意它发射的时间是11:19:20(美国东部时间)。你有没有惊讶地发现,即使事件收集得不正常,警报也会响起?这都是由于logrymethy的时间规范化功能。更先进一点的东西让我们跳进一个更复杂的例子,使用logrymethy中的一些预先构建的AI引擎规则。我选择第42条规则:用户线程检测:内部暴力验证。对于那些不熟悉这一规则的人,下面是它的工作原理:我不想创建网络故障或关闭代理,而是用一个带有身份验证活动的简单自定义日志源来演示这一点。在这个示例日志源中,我们通过文本文件收集,第一个条目(粗体)是我们的登录成功。注意它的时间戳是19:53:50。接下来,我们将其保留一段时间,并添加剩余的十几个登录失败,这些失败都会出现在日志文件中,但有一个较早的时间戳:2016-08-27T19:53:50+00:00,登录成功,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:32+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:33+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:34+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:35+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:36+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:37+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:38+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:39+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:40+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:41+00:00,防御ddos最主要的是什么,登录失败,cmartin,防御cc攻击软件,VGBWKS03,VGBWKS012016-08-27T19:52:42+00:00,登录失败,cmartin,VGBWKS03,VGBWKS012016-08-27T19:52:43+00:00,登录失败,cmartin,VGBWKS03,VGBWKS01大约一分钟后,会产生以下警报。我们再次成功地检测到了暴力攻击,尽管日志消息是不同步收集的。多时区?没问题对于网络跨越多个时区的组织来说,TCN是一个基本的功能,必须具备。使用TCN,阵列防御ddos,所有日志都存储在协调世界时(UTC)中,以便进行准确的事件关联和优先级排序。LinkedIn Twitter Facebook Reddit电子邮件

上一篇:cdn高防_cdn防御直播室_新用户优惠

下一篇:没有了