QRadar如何实现将数亿事件缩减为几个可处理的攻击？

这主要是因为Qradar和其他SIEM产品在对待攻击所作出的响应有所差别，通常的SIEM产品是每条规则都会产生一个报警，但qradar的“攻击“组件，则会自动的将不同规则触发的报警智能的归并成一条”攻击“事件，通过优化，一般每天处理的攻击事件可以控制在最多几十个之内。...显示全部

因为大多的日志和数据流都是正常的，而可能有问题的“坏”信息，只会占少部分，SIEM产品需要的是找到这些少量的“坏”信息，并把分析结果告诉给你显示全部

我对这个也比较好奇，从几十亿到几个的转化机制。显示全部

包括手动的优化，和“offense”具有的自动报警归类功能显示全部

这主要是因为Qradar和其他SIEM产品在对待攻击所作出的响应有所差别，通常的SIEM产品是每条规则都会产生一个 ...吴异刚 发表于 2015-8-21 14:10 优化是是指通过事件分析然后进行统一分类的优化，还是何种优化？...显示全部

都可以，这是看具体场景的显示全部

那定制是由你们来做，还是由管理员来做？显示全部

不需要，产品缺省带的显示全部

那超过这600多条的定制，是不是需要单独再收费？显示全部

前面提到了，缺省内置有超过600多条显示全部