降低安全误报的九条建议

几乎所有安全运营人员最头痛的降低建议问题就是海量的告警，最艰难的安全挑战就是去除告警里的噪音（误报） 。

首先，误报当安全人员围绕中心化的降低建议工作队列，如从分类和事件处理到分析 、安全调查、误报取证和恢复等，降低建议来构建工作流时 ，安全意味着需要对队列中的误报所有事件进行优先级排序和回顾检查 。模板下载但分析人员被迫在噪音的降低建议海洋里捞针 ，真正的安全安全事件被淹没。

其次，误报噪音也会带来基础设施成本的降低建议增长 ，有限的安全安全预算被低价值占用。如 ，误报必须尽可能的留存流量 、日志、警报、事件  ，无论其是香港云服务器否具备分析价值。

最后，误报往往会扭曲指标。如，安全事件花费时间百分比
、真阳性与假阳性比率、处理的事件数量和事件平均分析时间等指标，将受到噪声的极大影响。误报率越低 ，这些指标的结果就越准确和有效 。

降低误报的九条建议

1. 风险开始

对风险管理的深度理解和践行是亿华云建立强大安全计划的最坚实的基础。评估企业面临的风险和威胁，了解它们对企业内部的影响，并了解与每种风险和威胁相关的潜在成本、潜在破坏和损失。

2. 制定目标和优先级

对安全团队能够做出的最重要战略决策，安排解决时间。对上一步(1.)中列举的风险和威胁进行优先排序 ，并制定短期和长期目标和优先事项 。免费模板

3. 评估影响

识别关键资产、关键资源和重要数据存储等，帮助团队了解事件的潜在影响。了解最敏感和最重要的资产、资源和数据在哪里，有助于团队关注遥测中存在的差距。

4. 明确数据过度与差距

了解现有的遥测收集，并评估每个数据源是否有助于改进安全团队的检测。如果没有，那么收集它只会增加基础设施成本 ，源码下载而不会增加价值。找到遥测中存在哪些差距会导致团队忽略潜在安全事件，并制定解决这些差距的计划。

5. 明确技术过度与差距

仔细研究现有技术
，明确哪些技术有帮助
，例如生成高度可靠的安全警报
、收集有价值的遥测数据，或使流程和工作流更高效。密切关注技术难以解决的问题 ，而不是技术带来的帮助 ，源码库以及遥测和检测方面存在的差距 。

6. 抛弃默认规则集

规则 、签名和其他产生大量噪声的检测技术不仅无法提升安全项目的价值。相反
，这些默认规则将团队淹埋在误报中
，极大的妨碍了及时准确地检测安全事件。也许听起来可能有些激进
，但抛弃默认规则集的好处远大于坏处 。

7. 实施精准检测

“少即是多”，如精准查询
，以产生高真实度、高可靠性的警报和事件。虽然实施更高端复杂的检测方法需要大量的前期时间积累
，但它带来的回报是巨大的
。警报和事件处理的越好 ，有价值的数据就越多 ，噪音也越小 
。

8. 聚焦流程

当流程中断或不存在时，世界上最高质量的工作队列也无济于事 。世界级的安全团队拥有成熟、高效和有效的流程 ，指导和控制他们的工作方式 
。

9. 持续改进

没有处于理想状态的安全项目 ，好的安全团队要能够敏锐地意识到安全项目的弱点和改进机会。从上述每一点工作中吸取经验 ，并利用这些经验不断改进安全项目，这种持续改进才是长期成功的关键 。

结论

传统的观念认为 ，更多的数据、更多的事件和更多的警报有助于更好的检测，但这种观念不仅是过时，而且是扭曲的。正确的做法是 ，通过基于风险的战略，并贯彻实施降低噪音的方法机制  ，最终得以提高检测能力和安全项目的成熟度。在更快、更准确地检测安全事件的同时，降低误报 ，减少噪音带来的资源浪费 
。