Skip to content

Documentație

Introducere în corelare

O regulă de corelare servește drept șablon inteligent care definește condiții și relații specifice între diferite evenimente, permițând detecția…

Introducere în corelare

O regulă de corelare servește drept șablon inteligent care definește condiții și relații specifice între diferite evenimente, permițând detecția amenințărilor complexe care ar putea să nu fie evidente atunci când sunt examinate jurnale individuale în mod izolat.

Acest serviciu permite utilizatorului să coreleze evenimente pe baza unor reguli de corelare a datelor care răspund unor nevoi diferite, precum: prevenirea atacurilor de tip brute force, comportamentul anormal al utilizatorilor, atacurile cu viruși (și/sau propagarea acestora), comportamentul defectuos al aplicațiilor etc.

Cum funcționează regulile de corelare

Regulile de corelare sunt reguli avansate bazate pe logică, utilizate pentru a analiza și a corela evenimentele de securitate aferente din sistem:

  • Combinarea mai multor evenimente: Analizați date din surse diverse, precum firewall-uri, sisteme de detecție a intruziunilor, jurnale de autentificare și jurnale de aplicații
  • Definirea relațiilor temporale: Definiți intervalele de timp în care trebuie să apară evenimentele aferente pentru a declanșa o alertă
  • Stabilirea secvențierii evenimentelor: Specificați ordinea în care trebuie să se producă evenimentele pentru a identifica tiparele de atac
  • Aplicarea logicii condiționale: Aplicați condiții specifice pentru a diferenția între comportamentul normal și amenințările potențiale

Pentru informații mai detaliate despre corelare și implementarea acesteia în CYBERQUEST, vă rugăm să consultați următoarele resurse:

Alerts Module

Data flow rules and filters

How to create new alerts

How to create a DTS Alert