告警降噪
|
Security Operations,文章
|
57

2263 字
|
8 分钟

监管单位目前困境

  • 数据单一:较多的监管单位只能从城域网中进行流量镜像,这部分流量因为SSL证书原因,仅能够对HTTP协议数据、DNS协议数据进行分析,数据组成维度较少
  • 数据量巨大:城域网流量是整个城市的网络流量,即使在无法解密证书的情况下依然是百万级别的数据量,在海量的数据中人为挖掘可用是十分不现实的事情
  • 无法进行处置:在政企单位下,运营告警仅针对于自身单位,在封禁恶意攻击者后告警不再产生,就会减少告警噪音,但在监管单位的情况下,监管单位为旁路属性,无处置事件权利,且接入的城域网流量的属性,即使被监管单位封禁了恶意攻击者,但在城域网中依然会有对应此攻击者的流量,只是不会到达被监管单位的服务器
  • 事件的准确验证:由于监管单位的工作性质的原因,需要对威胁事件有较高的准确性才可以开展后续的工作,所以需要降低误报对于数据分析的影响

总结来看,解决监管单位目前的困境得从告警降噪的几个方面来进行
1.级别调整,高价值告警提升加强注意,低/无价值告警进行下降减少关注
2.告警归并,降低告警总量
3.告警研判,有效性分析

告警级别管理-降低噪音

告警级别管理,可以实时调整产生的原始告警的级别

告警产生的首要设备是IDS/IPS等检测类设备,告警的等级是规则所赋予的默认告警等级,通常告警分析默认分析(高危->中危->低危),那么调整告警级别,级别提高有利于我们对高价值的告警进行详细分析,而对于一些误报、低关注度事件、非重点关注资产等几个方面进行级别降低,从而达到告警降噪的目的。

升级内容

1.需要二次研判内容,如SQL注入、文件上传等重点关注的攻击类型
2.攻击成功告警

降级内容

1.人工无法研判内容,如无HTTP数据包、无payload内容
2.被拦截、阻断内容

优势

  • 减少噪声影响,运营一段时间后可做到仅需要关注告警威胁等级为高的内容
  • 替换白名单功能,部分客户不允许使用白名单进行过滤,可以通过此功能对相关内容进行降级,做到不关注
  • 快速定位高关注资产告警

告警聚合-降低重复

以原始告警为数据源,根据归并场景中的合并条件及合并字段(requestBody、responseMsg…)将符合条件的内容聚合成一条聚合告警,并保留作为聚合内容的所有原始数据

针对很多情报类告警-数量庞大/频率高,而很多情况下我们往往只关注告警的主机和具体的情报内容,那么我们可以建立对应的归并场景将同一场景中的告警归并为一条,从而大幅度降噪。

优势

  • 聚合重复告警,降低平台其他功能消费数据量,减少性能损耗
  • 通过共性聚合,降低分析研判次数
  • 批量相似告警聚合成一条,有效避免”告警刷屏”,”告警风暴”等情况

自定义模型-告警提质

告警级别调整与告警聚合可以在一定程度上降低告警噪声,但仅属于阈值或优先级层面的优化,并不能对告警内容进行深入分析和研判,因此无法对安全事件进行有效确认,因此采用建模手段进一步进行告警有效性分析-威胁建模内容,详细请转至威胁建模文章进行查看(http://106.54.201.63:8080/index.php/2026/03/12/22/),本文仅简单描述。

自定义的模型,可以通过筛选原始日志、异常记录、原始告警三块数据,通过特征、时序关联、统计等方法及思路对无连续性日志进行提质告警。例如情报类告警-Linux主机执行可疑命令,分析认为当该类告警出现10次以上那么进行一次高危告警,这个时候可以对其进行情报模型的威胁建模,统计告警出现的次数,超过阈值(10)进行一次高危告警。

优势

  • 对重复的告警从单点到面的转换,不再需要一条一条分析告警,一次分析一批
  • 提高研判速度,从对应模型产出的内容是无需二次研判的内容
  • 忽略误报,未命中自定义模型的内容在绝大多数情况下都可以定义为误报
  • 分层次进行告警分析及研判,首先分析自定义模型输出内容,再分析未命中的内容

告警降噪四重奏-项目案例

第一曲章-数据治理(对原始告警的”组合拳“)

目标:针对原始、重复、低价值的告警进行首次过滤

  • 通用降噪,提升研判效率:优先处理攻击方向为”内对内“的告警,快速定位内部误报,进行批量加白
  • 精准加白(针对已知良性活动):核心原则优先使用URI、进程路径等”应用层特征“,避免使用IP段加白,防止形成安全盲区
    Web类降噪:利用URI统计定位高频误报接口(/api/health),最后通过”活动列表“功能,将需豁免的URI批量添加至一个策略中,实现高效、可维护的批量加白。
    主机类降噪:通过筛选告警,以进程路径、命令行等为核心特征建立名为”主机可活动列表“的策略,对系统白进程、运维工具等产生的告警进行统一豁免。
  • 告警抑制(针对周期性、低频恶意”噪音“):在模型配置中启用”告警抑制“。分析客户环境近期所有告警,进行TOP N分析,主要识别模型ID,对存在大量告警的模型,针对性开启告警抑制。
  • 模型/规则调优(提升原生检测精度):分析平台TOP10告警产生规则。对于内置的、误报率高的规则,采用”复制-调优-替换“策略:复制原规则,调整检测逻辑或阈值后用于产生告警,而将原规则进开启异常记录,从而快速优化告警质量。

第二曲章-去伪存真(调整告警等级重塑风险视图)

  • 告警升级:将”攻击成功“、”失陷“等真正高风险的告警标记出来,进行告警升级
  • 告警降级:将大量”无法利用的扫描“、”无结果探测“、”已知业务误报行为“、”内部扫描器“等低价值告警降级

第三曲章-告警归并(基于事件的告警归并体系)

采用”一事一报,一类一报“原则,将短时间内的大量同质攻击合并为一条 ,显著减少告警条目。

第四曲章-事件闭环(自动化处置与封禁)

  • 通用告警处置:建立对应模型,将超过阈值或者命中特征的告警作为线索输入剧本进行封禁处置。
  • 自动化研判处置:针对攻击源在规定时间范围内的所有原始告警,综合计算攻击次数、攻击目标数、攻击类型数,满足封禁条件则推送人工处置。
文末附加内容
Security Operations
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
命令行执行RCE总结

							
							

							
文件上传总结

							
							

							
文件包含总结

							
							

							
WEB中间件概述

							
							

							
2025年度总结

							
							

							
内网安全

							
							

							
威胁建模

							
							

							
应急响应(IR)

							
							

							
SOAR剧本

							
							

							
SOC-安全运营中枢