单个事件可能看似微不足道,但与其他事件相结合,它可能就会提醒您注意某个潜在问题。Sentinel 可以使用您在关联引擎中创建和部署的规则来帮助您关联此类事件,并采取适当措施以缓解任何问题。
关联通过自动分析传入事件流来查找所需的模式,从而提高安全性事件管理的智能水平。关联功能允许您定义用于确定严重威胁以及复杂攻击模式的规则,以便确定事件的优先级并进行有效的事件管理和响应。有关详细信息,请参阅《NetIQ Sentinel 7.1 用户指南》中的关联事件数据
。
要根据关联规则监视事件,您必须在关联引擎中部署规则。当符合规则准则的事件发生时,关联引擎将生成描述该模式的关联事件。有关详细信息,请参见《NetIQ Sentinel 7.1 用户指南》中的关联引擎
。