【技术实现步骤摘要】
本专利技术涉及安全告警降噪,具体涉及一种安全告警降噪的方法。
技术介绍
1、安全告警降噪是指对接收到的安全告警进行筛选和优化,减少误报告警和低价值告警,以提高安全团队的研判效率和准确性。
2、随着新一代信息技术加速迭代和数字经济的发展,企业、医院、教育、政府、金融等各行各业的安全建设逐渐成熟,采购和投入使用的安全设备越来越多,如防火墙、ips/ids、威胁情报、邮件安全、云安全、edr、态势感知、waf、apt、安全沙箱等,由于不同安全设备同时检测相同的网络流量、安全设备检测规则比较宽泛等多种原因,导致安全设备每天产生海量的安全告警,导致安全运营人员的工作量呈数倍增长,且呈现出日益加剧的趋势。
3、现有的技术方案主要采用的降噪方案如下:
4、1)对不同安全设备对同一份网络流量检测到的相同的攻击类型告警去重或聚合在一起,只保留一条呈现给安全运营人员。
5、2)按照不同的维度,如攻击者、攻击者+受害者等,将告警归类合并,只保留一条呈现给安全运营人员。
6、3)预设安全降噪规则,将匹配到安全降噪规则的告警降噪(不呈现)。
7、以上降噪方案存在如下缺点:
8、1)告警去重仅对同一份流量产生的相同告警去重,对不同流量产生的相同告警无法去重,安全运营人员仍会看到较多的重复告警;
9、2)低价值的告警仍会重复出现,如安全设备对正常流量存在误报(如业务系统、负载等),对同一份流量去重后,仍会出现海量的低价值告警;
10、3)具备一定价值的
11、4)安全降噪规则需要持续更新,对安全运营人员有较高的能力要求,不仅技术上,还有业务上,如需要评判降噪规则的宽松程度,避免误降噪告警,需要考虑不同的资产对相同告警的容忍程度等,增大了安全运营难度。
12、5)多种类型安全降噪规则并行匹配,且匹配的优先级不合理,导致每条告警多次重复匹配,甚至匹配所有的安全降噪规则,安全降噪效率比较低。
13、因此,如何减少重复的、低价值的告警,对已有研判方案的告警实现自动化处置降噪,以减少安全运营人员的工作量的问题亟待解决。
技术实现思路
1、鉴于上述问题,提出了本专利技术提供一种安全告警降噪的方法,以解决现有技术中重复的、低价值的告警过多,安全运营人员工作量大的问题。
2、为了实现上述目的,本专利技术采用以下技术方案:
3、本专利技术提供一种安全告警降噪的方法,包括:
4、s1:接收告警:从第三方安全设备接收安全告警;
5、s2:匹配安全告警降噪规则:所述安全告警降噪规则包括:
6、1)自动生成的安全告警去重降噪规则;
7、2)根据安全研判方案自动生成的安全告警自动处置降噪规则;
8、二者如果相同,则合成一个规则;
9、s3:如果安全告警未匹配成功,则新创建1条安全告警降噪规则;
10、s4:如果安全告警匹配成功,则计算告警时间是否在预设时间周期内:
11、如果在预设时间周期内,则不允许新呈现安全告警,继续判断安全降噪规则上是否存在安全研判方案;
12、如果不在预设时间周期内,不对安全告警降噪。
13、进一步,s4中继续判断安全降噪规则上是否存在安全研判方案具体如下:
14、如果存在,则对接收到的安全告警做如下设置:
15、设置安全降噪标记;打“自动处置降噪”标签;
16、如果不存在,则对接收到的安全告警做如下设置:
17、设置安全降噪标记;打“去重降噪”标签。
18、进一步,s2中所述安全告警降噪规则的内容包括如下字段:
19、攻击者ip、受害者ip、攻击类型、开始时间、预设时间周期、自动呈现周期、关注等级、研判方案以及规则优先级。
20、进一步,s2中自动生成安全告警去重降噪规则具体为:
21、1)按照预设时间周期实现不同网络流量的告警去重;
22、2)按照预设维度自动生成安全降噪规则,预设维度包括:攻击者ip、受害者ip、攻击类型;
23、生成的安全降噪规则字段包括:
24、攻击者ip、受害者ip、攻击类型,开始时间、预设时间周期、自动呈现周期、关注等级、研判方案、规则优先级;
25、所述规则优先级=内置优先级+字段数量+配置的规则优先级。
26、进一步,生成所述规则优先级的算法如下:
27、1)内置优先级,通过默认优先级设置确保无论何种情况下,优先级顺序如下:
28、自动处置降噪> 规则降噪> 去重降噪> 归类合并;
29、2)字段数量,计算规则中字段的数量,将字段计算为一个值,有多少个字段,则值为多少;
30、3)配置的规则优先级,此字段为用户在配置规则时可以配置的优先级,值的范围500~1000。
31、进一步,s2中所述根据安全研判方案自动生成的安全告警自动处置降噪规则的具体方法如下:
32、在安全运营人员完成告警安全研判时,自动生成“自动处置降噪”规则,安全运营人员在界面上配置已禁止生成“自动处置降噪”,并配置规则字段、预置时间周期、规则优先级、关注等级。
33、进一步,s3中新创建的1条安全告警降噪规则中各字段赋值如下:
34、攻击者ip =接收到的安全告警中的攻击者ip
35、受害者ip =接收到的安全告警中的受害者ip
36、攻击类型=接收到的安全告警中的攻击类型
37、开始时间=接收到的安全告警中的检测时间或发现时间
38、预设时间周期=默认配置的预设时间周期
39、关注等级=配置的关注等级
40、自动呈现周期=无
41、研判方案=无
42、规则优先级=预置的去重降噪的优先级。
43、进一步,s4中所述计算告警时间是否在预设时间周期内的方法如下:
44、检测新接收到的安全告警的检测时间或发现时间减去安全降噪规则中的开始时间是否小于安全降噪规则中的预设时间周期;
45、如果小于,则说明,本条安全降噪规则仍在“静默期”内,不允许新呈现安全告警。
46、进一步,s2中所述安全告警降噪规则设置有自检线程,所述自检线程用于检测安全规则设置的合理性。
47、进一步,所述自检线程设置有动态多次多人确认机制以及风险资产告警确认机制;以降低安全运营人员工作难度及规则配置过程中的不确定性和带来的潜在安全隐患。
48、采用上述技术方案,本专利技术具有如下有益效果:
49、1)进一步减少重复的、低价值的告警;
50、2)对已有研本文档来自技高网...
【技术保护点】
1.一种安全告警降噪的方法,其特征在于,包括:
2.根据权利要求1所述的安全告警降噪的方法,其特征在于,S4中继续判断安全降噪规则上是否存在安全研判方案具体如下:
3.根据权利要求1所述的安全告警降噪的方法,其特征在于,S2中所述安全告警降噪规则的内容包括如下字段:
4.根据权利要求1所述的安全告警降噪的方法,其特征在于,S2中自动生成安全告警去重降噪规则具体为:
5.根据权利要求4所述的安全告警降噪的方法,其特征在于,生成所述规则优先级的算法如下:
6.根据权利要求1所述的安全告警降噪的方法,其特征在于,S2中所述根据安全研判方案自动生成的安全告警自动处置降噪规则的具体方法如下:
7. 根据权利要求1所述的安全告警降噪的方法,其特征在于,S3中新创建的1条安全告警降噪规则中各字段赋值如下:
8.根据权利要求1所述的安全告警降噪的方法,其特征在于,S4中所述计算告警时间是否在预设时间周期内的方法如下:
9.根据权利要求1所述的安全告警降噪的方法,其特征在于,S2中所述安全告警降噪规则设
10.根据权利要求9所述的安全告警降噪的方法,其特征在于,所述自检线程设置有动态多次多人确认机制以及风险资产告警确认机制;以降低安全运营人员工作难度及规则配置过程中的不确定性和带来的潜在安全隐患。
...【技术特征摘要】
1.一种安全告警降噪的方法,其特征在于,包括:
2.根据权利要求1所述的安全告警降噪的方法,其特征在于,s4中继续判断安全降噪规则上是否存在安全研判方案具体如下:
3.根据权利要求1所述的安全告警降噪的方法,其特征在于,s2中所述安全告警降噪规则的内容包括如下字段:
4.根据权利要求1所述的安全告警降噪的方法,其特征在于,s2中自动生成安全告警去重降噪规则具体为:
5.根据权利要求4所述的安全告警降噪的方法,其特征在于,生成所述规则优先级的算法如下:
6.根据权利要求1所述的安全告警降噪的方法,其特征在于,s2中所述根据安全研判方案自动生成的安全告警自动处置降噪规...
【专利技术属性】
技术研发人员:冯森,芮晨,高云峰,杨校林,
申请(专利权)人:中国交通信息科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。