2同行回答
目前实践过程中主要尝试对于普通级别告警进行聚合,找出关键特征,比如源或者目标IP,IP位置,用户名等。理解告警触发的原因,最好回溯到原始日志事件,确认告警触发的真实性。随后根据关键特征,由点及面,从更高的维度掌握其发生的规律。比如由于某个特定帐户短时间连续登录失败产生告警,在确认该事件后,可以看看是否同账号在其他时间段也有登录失败的情况,主要发生在什么时间内,该账号是否有登录成功的记录,尝试登录的IP是否是同一个,或者是同区域的。如果由一个IP产生,是不是这个IP还对其他帐户有类似操作。即使不是一个IP产生的,是不是有其他帐户有类似的情况。这个过程可以帮助分析师更直观得了解整个事态,以判断其严重程度。然后需要结合现有的资产管理系统和帐户管理系统,快速对应到主机和对应人员。并提交给响应团队处理。
收起海量告警一般来源于IPS/IDS,目前的全流量分析系统不会产生海量告警。IPS/IDS告警日志可以结合威胁情报进行筛选,确定一些有价值的告警信息。针对有价值的告警信息,可以以IP地址作为基准,结合流量、情报、系统日志进行问题根源的分析。
收起