Brainscape's Knowledge GenomeTM


Top Flashcards (Certified)
All Flashcards

IC2 > Definice operací nutných k aplikaci automatické analýzy logů > Flashcards

Definice operací nutných k aplikaci automatické analýzy logů Flashcards

1
Q

Bloky Automatické analýzy

A

Agregace -> Filtrace (->úložiště) -> Normalizace -> Korelace -> Reporting

1) Agregace = Proces shromažďování logů z různých zdrojů (např. servery, aplikace, síťová zařízení) na jedno místo za účelem jejich centralizovaného zpracování.
2) Filtrace = Proces odstraňování nerelevantních nebo redundantních dat z logů za účelem snížení objemu dat a zaměření na důležité informace.
3) Normalizace = Transformace různorodých formátů logů do jednotného standardizovaného formátu, který usnadňuje analýzu.
4) Korelace = Proces identifikace vztahů mezi událostmi v logech na základě časové posloupnosti, společných atributů nebo dalších pravidel.
Představuje nejproblematičtější blok. Výsledná data jsou posílána e-mailem, zobrazena graficky odlišeným způsobem nebo jsou nějakou formou předložena lidskému operátorovi, který vykoná další akce.
5) Reporting = Vytváření přehledů a vizualizací z analyzovaných logů, které usnadňují interpretaci výsledků.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Detekce signatur (známých událostí)

A

Shromažďovaná data jsou analyzována a sledována. V případě aktivace pravidla je realizována akce – upozornění, obrana. Automatické SIEM (Security Information and Event Management) systémy nepokrývají všechny potřeby organizace a velkou část korelací událostí je nutné doprogramovat.

Signatury definují přesný vzor pro konkrétní hrozbu (např. známé IP adresy útočníků, specifické sekvence příkazů).

Výhodou je vysoká přesnost při detekci známých hrozeb, nevýhodou neschopnost detekovat neznámé útoky.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Detekce anomálií (neznámých událostí)

A

Frekvenční model počítá výskyty definovaného jevu za pevně daný okamžik.

Referenční model porovnává model „normálního“ chování a sleduje, zda se sledované jevy pohybují v povolených odchylkách – data jsou sbírána a porovnávána s modelem. Přesnost je velmi závislá na množství a kvalitě dat ze kterých byl model vytvořen.

Model strojového učení klasifikuje vstupní data do tříd a shlukuje je do skupin s podobnými vlastnostmi.

Výhodou je schopnost detekovat neznámé nebo zero-day útoky, nevýhodou může být vyšší míra falešně pozitivních detekcí.
Anomáliemi mohou být nadměrný provoz, změna chování síťového prvku, přihlášení pomocí VPN mimo pracovní hodiny, opakovaná neúspěšná přihlášení, přihlášení z více IP
během krátké doby

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

IC2 (10 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2025 Bold Learning Solutions. Terms and Conditions