目前实践过程中主要尝试对于普通级别告警进行聚合，找出关键特征，比如源或者目标IP，IP位置，用户名等。理解告警触发的原因，最好回溯到原始日志事件，确认告警触发的真实性。随后根据关键特征，由点及面，从更高的维度掌握其发生的规律。比如由于某个特定帐户短时间连续登录失败产生告...

这个是一个真实情况下一定会碰到的问题，SIEM本来就会接入大量不同的日志，并定义大量威胁用例，伴随而来的一定是大量的告警。其中一定混杂着真实的告警和误报。除了通过调优规则来减少误报之外，剩下的告警可能依然数量非常大。根据经验，一个安全分析师一天能处理的安全告警一般...