面对海量日志数据和不断增长的安全告警数量,安全运营团队面临着前所未见的挑战。为了有效管理这些告警并提高响应效率,作战保障团队开发了一套全面的告警分类与响应策略,以减轻“告警疲劳”,确保关键威胁能够得到及时有效的处理。以下是这套策略的具体细节:
告警分类与响应策略
I类告警
- 定义:高度疑似系统已被入侵的告警,通常是攻击者成功渗透后的活动。
- 响应策略:
- 配置自动预警脚本工具,确保对所有设备上的此类告警进行7×24小时实时通知预警。
- 实施即时分析与响应机制。
II类告警
- 定义:经过验证的高可信度攻击告警。
- 响应策略:
- 利用安全编排自动化响应(SOAR)平台,配置自动化IP封禁剧本。
- 自动化处理攻击源头,特别是扫描类告警。
III类告警
- 定义:需要人工进一步分析以确认其真实性的告警。
- 响应策略:
- 在SIEM或态势感知平台设立专门的告警页签进行集中展示。
- 要求安全分析师在告警产生后的半小时内完成人工分析,并更新告警状态。
IV类告警
- 定义:研判价值较低或误报率较高的告警。
- 响应策略:
- 在SIEM或态势感知平台设立专门的告警页签进行集中展示。
- 要求安全分析师在告警产生后的两小时内,根据攻击链的位置和规则置信度等因素,完成随机抽查。
实施步骤
- 规则梳理与优化:安全专家针对现有的告警规则进行细致的梳理、测试、观察以及验证,最终形成一套可靠的I、II、III、IV四类告警规则集。
- 流程构建与策略落地:
- 针对不同类型的告警,明确具体的监测响应流程。
- 利用自动预警机器人、SOAR平台以及SIEM/态势感知平台进行策略配置。
- 度量与持续优化:
- 定义告警策略的有效度量指标(如平均检测时间MTTD、平均恢复时间MTTR)。
- 定期评估策略效果,并进行必要的调整以优化性能。
- 在这期间我们在这个api大全 啊平台当中使用了Cloudmersive安全威胁检测API,对接该api实现自动发现ip威胁并自动封禁等操作,通过对接这个接口实现自动封禁提高ip封禁效率。
成效示例
通过实施这一策略,告警监测与研判的工作量显著减少,从每天8,751条降低到仅551条,降幅约为16倍。这不仅明确了监测与研判工作的范围和优先级,而且大幅提升了整体的工作效率。
这套策略不仅有助于减轻安全分析师的压力,还能确保关键安全事件得到及时的关注和处理,从而有效地保护组织免受潜在威胁的影响。
- 自动预警工具:
- 24h自动预警群:
- SOAR剧本配置及运行:
- 监控页签落地前后对比:
- 落地前
2)落地后
