技战法-针对海量告警的“一类一策”分诊方案-20230809.pdfVIP

针对海量告警的“一类一策”分诊方案

一、技战法概述

随着海量日志持续接入SIEM或态势感知平台，每日告警数

量也随之激增，日均待处理告警数量少则逾千，多则上万，远

远超出了监测分析人员的处理极限。加之告警种类繁多、误报

夹杂及重要程度不明，告警疲劳已成为安全监测分析人员面临

的头号难题。

尝试传统的策略优化作用通常也相对有限，为应对上述问题，

作战保障团队对云、网、端侧检测平台所有告警进行梳理分类，

根据告警重要程度、准确性等要素，将告警分为四类，并针对

四类告警设定相应的监测响应策略，明确相关要求，实现范围

清晰、优先级明确、时效性明确的全告警分类“诊断”。四类告

警定义，及监测响应策略如下：

1.I类告警：已失陷或疑似失陷的高危告警（多为后渗透阶段

攻击告警）。监测响应策略：利用自动预警脚本工具对所有

设备此类告警进行7*24h实时通知预警，实现实时分析响应。

2.II类告警：通过准确性分析验证的“高可信”攻击告警。监

测响应策略：利用SOAR平台配置自动化IP封禁剧本，针对

攻击源进行实时自动封禁过滤绝大部分告警（尤其是扫描类

告警）。

3.III类告警：待人工进一步分析确认的具备较高研判价值的

告警。监测响应策略：在SIEM