减少安全误报的建议
发布时间:2022-08-05 16:28:13 所属栏目:安全 来源:互联网
导读:几乎所有安全运营人员最头痛的问题就是海量的告警,最艰难的挑战就是去除告警里的噪音(误报)。 首先,当安全人员围绕中心化的工作队列,如从分类和事件处理到分析、调查、取证和恢复等,来构建工作流时,意味着需要对队列中的所有事件进行优先级排序和回顾
|
几乎所有安全运营人员最头痛的问题就是海量的告警,最艰难的挑战就是去除告警里的噪音(误报)。 首先,当安全人员围绕中心化的工作队列,如从分类和事件处理到分析、调查、取证和恢复等,来构建工作流时,意味着需要对队列中的所有事件进行优先级排序和回顾检查。但分析人员被迫在噪音的海洋里捞针,真正的安全事件被淹没。 降低误报的九条建议 1. 风险开始 对风险管理的深度理解和践行是建立强大安全计划的最坚实的基础。评估企业面临的风险和威胁,了解它们对企业内部的影响,并了解与每种风险和威胁相关的潜在成本、潜在破坏和损失。 2. 制定目标和优先级 对安全团队能够做出的最重要战略决策,安排解决时间。对上一步(1.)中列举的风险和威胁进行优先排序,并制定短期和长期目标和优先事项。 3. 评估影响 识别关键资产、关键资源和重要数据存储等,帮助团队了解事件的潜在影响。了解最敏感和最重要的资产、资源和数据在哪里,有助于团队关注遥测中存在的差距。 4. 明确数据过度与差距 了解现有的遥测收集,并评估每个数据源是否有助于改进安全团队的检测。如果没有,那么收集它只会增加基础设施成本,而不会增加价值。找到遥测中存在哪些差距会导致团队忽略潜在安全事件,并制定解决这些差距的计划。 5. 明确技术过度与差距 仔细研究现有技术,明确哪些技术有帮助,例如生成高度可靠的安全警报、收集有价值的遥测数据,或使流程和工作流更高效。密切关注技术难以解决的问题,而不是技术带来的帮助,以及遥测和检测方面存在的差距。 结论 传统的观念认为,更多的数据、更多的事件和更多的警报有助于更好的检测,但这种观念不仅是过时,而且是扭曲的。正确的做法是,通过基于风险的战略,并贯彻实施降低噪音的方法机制,最终得以提高检测能力和安全项目的成熟度。在更快、更准确地检测安全事件的同时,降低误报,减少噪音带来的资源浪费。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号