查看其它 1 个回答kermit的回答
这个是一个真实情况下一定会碰到的问题,SIEM本来就会接入大量不同的日志,并定义大量威胁用例,伴随而来的一定是大量的告警。其中一定混杂着真实的告警和误报。除了通过调优规则来减少误报之外,剩下的告警可能依然数量非常大。根据经验,一个安全分析师一天能处理的安全告警一般在十几个。而在我面临的实际情况中,初期产生的告警量远远超过安全分析师能处理的量。我应对的办法是,把安全告警分成了普通级别和特别严重级别。普通级别的告警仅仅会被记录成事件,然后利用定时脚本定期得(每周或者每天)把这些事件汇总起来做自动分析,通过聚合挑出最严重的事件和对应主体。特别严重级别事件一般是在原有的威胁用例基础上调高阈值,只有在严重的攻击或者违例情况下才会告警。当然,如果某个威胁用例本身的精确度和严重程度就很高的话,那也会被定义成特别严重级别事件的。通过这个方法,无疑会降低SIEM系统的敏感度。但是却使得整个系统的运维可以持续进行。在运维过程中会,我们也定义了流程来逐渐降低规则的误报以及特别严重事件的阈值,从而找到一个运维和优化之间的平衡点。