单个事件看起来可能很普通,但结合其他事件时可能会提醒您存在潜在问题。Sentinel 可以通过使用在 Correlation Engine 中创建和部署的规则来帮助您关联此类事件,并采取适当的措施来缓解任何问题。
关联通过自动分析传入事件流来查找所需的模式,从而提高安全性事件管理的智能水平。关联功能允许您定义用于确定严重威胁以及复杂攻击模式的规则,以便确定事件的优先级并进行有效的事件管理和响应。有关关联的详细信息,请参见《 Sentinel 用户指南》
中的关联事件数据。
要根据关联规则监视事件,您必须在 Correlation Engine 中部署规则。当符合规则准则的事件发生时,Correlation Engine 将生成描述该模式的关联事件。有关详细信息,请参见 《 Sentinel 用户指南》
中的 Correlation Engine。