Event 事件(可观测发生)
网络/系统/设备上一次可观测的发生。 注意:这是个中性词——一次登录、一次文件访问、一个数据包,都是 event,绝大多数完全正常。
Event ≠ Incident
这是新手最容易混的一对:
| Event 事件 | Incident 安全事件 | |
|---|---|---|
| 含义 | 任何可观测发生 | 危及机密性/完整性/可用性的事件 |
| 性质 | 中性,大多无害 | 一定是坏事 |
| 数量 | 海量(每秒成千上万) | 少量 |
| 关系 | 所有 incident 都是 event | 极少数 event 才是 incident |
为什么重要
日志记录的就是 event。SIEM 收集海量 event,通过关联分析,从中筛出那几条真正构成 incident 的。检测的本质就是在 event 的汪洋里捞针。