|
Post by account_disabled on Apr 4, 2024 6:50:28 GMT 1
的整个动物园统一为单一格式并能够统一处理来自基础设施中所有来源的事件规范化阶段进行。为了规范化任意原始事件我们需要了解将其简化为什么模式也就是说我们需要描述规范化事件应该是什么样子它应该包含什么属性以及这些属性是什么类型。可以找到哪些类型的事件表示形式基本上可以区分两种类型的事件表示形式文本表示形式和结构化表示形式。也有组合这些类型表示的情况我们将在分析提取和处理语言在事件规范化方面的能力时单独讨论它们。 提取和处理是一种由创建的用于开发规范化关联和丰富规则的语言。它们用于和系统中根据端 阿曼数据 点的事件流分析来检测攻击。第一种类型是简单的自由格式文本其中部分数据根据不同的条件在不同事件之间动态变化。文本事件可以是单行或多行。第二种是参数的嵌套结构多级关联数组。或格式就是一个例子。源可以以结构化形式独立生成事件或者可以将有关记录的操作的信息保存在在通过系统连接器收集此类事件后可以以结构化形式呈现它们。 还值得注意的是有时供应商会为源的文本表示提供不同的事件格式模板选择并且在日志中记录的形式将取决于它们。选择事件格式时要注意什么如果来源允许要检测恶意活动事件的一个非常重要的属性是其完整性。事件发生的细节越多分析和后续判断的机会就越多。一些系统允许用户选择事件格式。这可以是系统设置面板中的一个参数允许您选择事件的文本表示格式也可以是更复杂的配置选项需要在公司基础设施内配置和支持源的员工执行其他操作。
|
|