5.3.3.1 日志关联分析

文档摘要

5.3.3.1 日志关联分析 5.3.3.1 日志关联分析：当时间戳漂移半秒，告警就永远迟到——一个真实击穿SIEM底层时序假设的故障复盘与原子级修复方案你有没有见过这样的场景？凌晨两点十七分，EDR弹出一条高置信度告警：“域控服务器DC01上发生横向移动，源自IP 10.23.45.89（一台已下线三年的旧测试机）”。 SOC工程师点开原始日志——Windows Security Event ID 4624（登录成功）来自DC01，时间戳是；而同一行为在防火墙日志中记录为；在终端EDR日志里却显示为。三份日志指向同一毫秒级事件，时间差最大达581毫秒。