【万象】COSMOS安全分析与管理平台 关联分析 使用介绍
1.关联分析查看、运行、修改
2.新增关联分析规则
(1)点击右上角新增规则
(2)新增关联分析规则,三种版本:入门版、高级版、SQL版
(3)高级版规则编写实例:
可以选择三种运算模式:手动运行(开启一次,运行完自动停止),周期运行(选择时间间隔,隔相应时间执行一次),实时计算(实时计算包含高级分组)
用AND和OR条件连接并列的语句,AND表并且需同时满足才会生效,OR表或者只需其中一个满足即可
选择字段后,运算符一般有大于、等于、包含、开头为、结尾为。
选择过的表和字段,可以在右侧配置字段中查到
(4)SQL版本规则编写实例:
使用SQL语句,select、from、where等实现特定化分析
3.关联分析日常调优
需要常看是否运行,是否有告警和触发soar,可以如图筛选
选框最右侧三个横点可以自定义筛选框选项
4.查看关联分析效果——告警
(1)点击规则左侧查看详情,可以查看执行记录和有效输入数据和输出告警等(特别适合周期运行规则统计不同时段输出告警数量)
(2)在风险监测--告警列表 中查看由关联分析产生的告警
5.关联分析事件等级对应表
在选择事件等级进行关联时,等于大于后边跟的是数字时,其对应的等级如下:
案例来源——太平资管
项目要求——关联分析能准确捕捉到山石网科ips数据中,危险等级中、高、超高的数据,联动soar来数据时能够自动封禁。项目关联分析中,选择事件等级后边对应的只有数字0,1,2等,按此表中万象等级对应中危高危来筛选数据后,数据预览,则正确捕捉中危高危。
