查看其它 1 个回答kermit的回答
目前实践过程中主要尝试对于普通级别告警进行聚合,找出关键特征,比如源或者目标IP,IP位置,用户名等。理解告警触发的原因,最好回溯到原始日志事件,确认告警触发的真实性。随后根据关键特征,由点及面,从更高的维度掌握其发生的规律。比如由于某个特定帐户短时间连续登录失败产生告警,在确认该事件后,可以看看是否同账号在其他时间段也有登录失败的情况,主要发生在什么时间内,该账号是否有登录成功的记录,尝试登录的IP是否是同一个,或者是同区域的。如果由一个IP产生,是不是这个IP还对其他帐户有类似操作。即使不是一个IP产生的,是不是有其他帐户有类似的情况。这个过程可以帮助分析师更直观得了解整个事态,以判断其严重程度。然后需要结合现有的资产管理系统和帐户管理系统,快速对应到主机和对应人员。并提交给响应团队处理。