@怪人
2年前 提问
1个回答
安全运营中心减少误报的方式?
安全侠
2年前
安全运营中心减少误报的方式包括:
主动出击
将你的威胁管理方式变得积极主动,如果你所做的就是等待警报响起和警报消失,那么你的时间都会花在误报的处理上而不是发现真正的威胁。主动发现威胁,这是检测最新网络威胁唯一经过验证的方法。
目标优先
评估你所在企业的风险与安全需求,然后再将报警技术应用于最高风险威胁事件。重点关注你的最终目标,也就是和你计划检测最相关的威胁类型,这会大大降低误报率。
高风险警报优先
优先化是SOC减少因误报而造成时间浪费最好的工具之一。可靠性最高并带有检测高风险事件的报警无疑应该被列为优先处理项。利用这种方法分析人员就可以根据优先级分别处理,确保首先解决风险最高的事件。
协同处理(利用相关性)
很多情况下,一个事件可能不足以引起重视,除非它与其它利益事件一起被观察到。出现这样的情况时,你应该使用一套定义清晰的相关性规则,若各个事件满足所有相关性标准,那么只发送一条警报至分析师的处理安排表中。
保持更新
复查以前的警报,不断吸取教训,更好地制定报警规则。警报复查能够让你明白如何调整、改善现有规则。如今的网络威胁十分复杂,降低误报率需要智能化、有针对性的警报逻辑来提取重要事件。因此持续调整这种逻辑非常重要。