|
|
|
|
移动端

1.2.14 归一化处理

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍归一化处理。

作者:李晨光来源:清华大学出版社|2016-01-14 16:37

年前最后一场技术盛宴 | 1.27与京东、日志易、美团技术大咖畅聊智能化运维发展趋势!


1.2.14 归一化处理

安全事件关联的基础是安全事件的归一化,也就是将不同数据源的安全事件(表示的格式不同),以及对同一攻击特征产生的攻击类型命名不一致问题(意味着安全事件的名称不一致),进行归一化的过程。首先了解日志处理的步骤,如图1-29所示。

该过程是对报警信息进行格式的统一规范化,将报警信息进行分析与解码,把报警信息中的关键字段提取出来,存储在统一的结构体中,并按不同的类分别归结为一起。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

C#和.NET核心技术

本书重点讲解如何用实用的代码来解决具体的实际问题。本书的内容覆盖面很广,从新的C#范型到Web服务,从反射到安全等都有涉及。系统地介绍...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊