Пример сводной таблицы покрытия типов источников журнала

В таблице Сводка покрытия типов источников журналов показаны некоторые результаты покрытия с 16 ноября 2020 года. Узнайте, как использовать эти примеры для интерпретации собственных результатов.

Отчет был представлен 30 ноября 2020 года для отслеживания покрытия, начатого 16 ноября 2020 года.

1. События первых 4 типов источников журнала не участвовали ни в одном из нарушений с 16 ноября 2020 года. События, поступающие из этих типов источников журналов, за две недели не повлияли ни на одно нарушение. Типы источников журналов CrowdStrikeEndpoint и Akamai KONA получили события, и хотя у Akamai KONA было почти 154 000 000 событий, ни один из них не способствовал ни одному нарушению. Чтобы разрешить эти типы наблюдений, сделайте следующее:
   • Изучите правила, связанные с этими типами источников журналов для любых действий по настройке. Запустите один из шаблонов покрытия источников журнала и добавьте фильтр для всех необходимых типов источников журналов.
   • Проверьте, доступны ли дополнительные правила для установки в IBM® Security App Exchange, чтобы обеспечить лучшее покрытие для этих типов источников журналов. Выберите Покрытие типа источника журнала правил > Текущее и потенциальное покрытие, найдите тип источника журнала на диаграмме и щелкните по столбцу рядом с ним в столбце Правила, доступные для установки . Затем примените фильтры и проверьте полученный отчет.
2. Типы источников журналов CrowdStrike Falcon и Palo Alto PA Series показывают, что было обновлено несколько нарушений, но ни одно из них не получило никаких событий. Поскольку у этих типов источников журналов нет никаких событий, это означает, что эти типы источников журналов связаны с некоторыми нарушениями, обновленными событиями из других типов источников журналов.
3. У типа источника журнала TAP Proofpoint есть много событий, которые содействовали двум нарушениям. Это - типичный пример.