Varlık bağlamı (Asset Context) ifadesi Logsign mimarisinde “Behavior” ve “Asset” adında isimlendirmiş listelerden oluşmaktadır. Bu bağlamda Asset ve Behavior içeriklerinde belirtilen ön tanımlı listeleri kullanabiliriz yada belirleyeceğimiz mantıksal yapılara göre listeler oluşturabiliriz.
Belirli zaman aralığı, eşik değeri ve sorgu alanı ile beraber “Behavior” listelerimizin içerikleri belirlenir. Bu aşamadan sonra mevcut tanımlı yada bizim oluşturduğumuz listelerden faydalanarak alarm kuralları oluşturulur.
Loglar daki veriler onceden tanımlanmış olan Assets&Behaviours listeleri ile ilişkilendirilir. Logsign bu verileri üst context olarak bucket ismi ile sunar. İlgili bucket koşulları sağlanırsa log un zenginleştirilmesi işlemi yapılır. Boylece log lar historical olarak daha önce karışmış olduğu şüpheli olayları ve dahil olduğu statik user/group/network tanımları ile beraber zenginleştirilmiş bir icerige sahip olurlar.
Logsign web arayüzünde Alerts > Assets and Behaviours sekmesinden ön tanımlı listelere erişebilirsiniz.
