×
ข้ามไปยังเนื้อหาหลัก

Correlation Analysis บน Athena XDR (Data Ingestion & Analysis)

ปรับปรุงเมื่อ

ภาพรวมของ Correlation Analysis

Correlation Analysis ใน Sangfor Athena XDR เป็นฟีเจอร์ SIEM (Security Information and Event Management) ที่ใช้ Algorithm และเทคนิคในการวิเคราะห์ Security Incidents จาก Security Devices และระบบต่างๆ เพื่อระบุ Potential Threats และ Attack Patterns ฟีเจอร์นี้ควบคุมโดย Third-Party Log Analysis Module และจะแสดงในเมนูเมื่อ License ถูก Activate แล้ว

Data Ingestion

แท็บ Data Ingestion ช่วยให้ผู้ใช้ดู Connection Status ของ Data Sources, Collected Logs และ Parsed Logs รวมถึงเพิ่มและจัดการ Third-Party Data Sources เข้าถึงได้ที่ Configuration > Correlation Analysis > Data Ingestion

Correlation Analysis Data Ingestion overview with log statistics

Connection Methods ที่รองรับ

Sangfor XDR รองรับหลาย Protocol สำหรับ Data Ingestion:

  • Syslog - รับข้อมูลแบบ Passive ผ่าน TCP/UDP Port 514 (UTF-8) และ TCP/UDP Port 515 (GBK)
  • Kafka - ดึงข้อมูลแบบ Active จาก Topic Data โดย Protocol และ Port ขึ้นอยู่กับ Topic Settings
  • SNMP Traps - รับ SNMP Trap Messages
  • FTP และ SFTP - รับข้อมูลผ่าน File Transfer Protocol

ขั้นตอนการเพิ่ม Data Source

การเพิ่ม Third-Party Data Source ทำได้ 6 ขั้นตอน:

  1. Step 1 - ไปที่ Configuration > Correlation Analysis > Data Ingestion > Data Sources คลิก Add
  2. Step 2 - กำหนด Basics Settings เช่น Data Source Name, Entry Format แล้วคลิก Next
  3. Step 3 - กำหนด Data Ingestion Settings เช่น Connection Method และ Agent (ต้องสร้าง Agent ใน Device Connection > Agent Settings ก่อน)
  4. Step 4 - กำหนด Data Parsing Settings เช่น Parsing Rule และ Encoding Format เพื่อให้ Raw Log Data ถูก Parse อย่างถูกต้อง
  5. Step 5 - ยืนยัน Data Enrichment Settings เพื่อ Enrich Raw Log Data ด้วย Field เพิ่มเติม เช่น IP Location, Network Type และ Asset
  6. Step 6 - คลิก Submit เพื่อเสร็จสิ้นการเพิ่ม
Add Data Source wizard - Data Ingestion step with Kafka connection method
Add Data Source wizard - Data Parsing step with parsing rules for security devices
Add Data Source wizard - Data Enrichment step with IP Location and Network Type

การจัดการ Data Source

หลังเพิ่มแล้ว สามารถดำเนินการได้:

  • Copy - คัดลอกการตั้งค่า Data Source
  • Delete - ลบ Data Source
  • Enable/Disable - เปิด/ปิดการใช้งาน
  • Configure Connection Anomaly - กำหนดระยะเวลาที่ถือว่า Disconnected
  • Push Down Config - Push การตั้งค่าไปยัง Agent
  • Parsing Rule - ดู Parsing Rules (รองรับ 100+ Data Source Types)

Data Analysis

Sangfor XDR มี Built-in Data Analysis Rules มากกว่า 100 Rules สำหรับวิเคราะห์ Network Security Logs, Third-Party Logs และ Audit Logs ระบบสามารถตรวจจับ:

  • Scanning Detection - การสแกนเครือข่าย
  • Brute-Force Attacks - การโจมตีแบบ Brute Force
  • Website Attacks - การโจมตี Website
  • Vulnerability Exploitation - การใช้ช่องโหว่โจมตี
  • Malware - มัลแวร์
  • C2 Communication - การสื่อสารกับ Command & Control Server

ผู้ดูแลระบบสามารถสร้าง Custom Detection Rules เพิ่มเติมเพื่อวิเคราะห์ Raw Log Data และสร้าง Custom Alerts ได้

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น