企业如何降低对安全产品的误报

这篇文章主要讲解了“企业如何降低对安全产品的误报”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习“企业如何降低对安全产品的误报”吧！

那么什么原因造成了虚假警报呢？

据悬镜服务器卫士的工作人员了解到：误报最常见的成因是配置不良或调整不佳的安全工具，例如SIEM、入侵检测系统、入侵防御系统、终端检测与响应工具。

这些系统利用了很多基于一套预定义规则（如已知签名、模式、预期的用户行为等）的攻击检测技术。

当这些工具中的某个规则、签名或模式定义得太宽泛或缺少某些逻辑时通常就会产生误报。根据当前逻辑识别安全事件，就容易产生虚假的威胁事件报警。

下面推荐7个基本习惯可供企业或组织参考借鉴，最大程度地降低误报率：

1）主动出击。

将你的威胁管理方式变得积极主动，如果你所做的就是等待警报响起和警报消失，那么你的时间都会花在误报的处理上而不是发现真正的威胁。主动发现威胁，这是检测最新网络威胁唯一经过验证的方法。

2）目标优先

正确使用报警技术能够大大提高我们识别可疑或恶意活动的能力，这也是悬镜服务器卫士一直在追求的的目标。但很多企业、组织大范围地应用该技术，忽视了重点关注你计划检测的威胁类型这一关键点。

评估你所在企业的风险与安全需求，然后再将报警技术应用于最高风险威胁事件。重点关注你的最终目标，也就是和你计划检测最相关的威胁类型，这会大大降低误报率。

3）高风险警报优先

优先化是SOC减少因误报而造成时间浪费最好的工具之一。可靠性最高并带有检测高风险事件的报警无疑应该被列为优先处理项。

利用这种方法分析人员就可以根据优先级分别处理，确保首先解决风险最高的事件。

4）双赢思维

把人们看做是一个合作性的群体而不是竞争性的。选择合作性的情报源，为你的安全操作中心带来不同的真实性、相关性和价值资源。

（当然要进行明智地选择；如果不够小心，盲目地整合情报站点资源而不评估其真实性，这样产生的误报率会对安全操作中心带来负面影响。）

5）注重理解

处理误报问题首先应该全面理解已有工具想要处理的是什么威胁以及它的运作方式。使用某个工具时，你也应该彻底明确你部署它的原因，而不是根据“常见”情况而作出假设，切忌在默认设置的情况下安装某个工具。

6）协同处理（利用相关性）

很多情况下，一个事件可能不足以引起重视，除非它与其它利益事件一起被观察到。出现这样的情况时，你应该使用一套定义清晰的相关性规则，若各个事件满足所有相关性标准，那么只发送一条警报至分析师的处理安排表中。

7）保持更新。

复查以前的警报，不断吸取教训，更好地制定报警规则。警报复查能够让你明白如何调整、改善现有规则。

如今的网络威胁十分复杂，降低误报率需要智能化、有针对性的警报逻辑来提取重要事件。因此持续调整这种逻辑非常重要。

虽然虚假警报在网络安全操作中总是会存在，但通过遵循以上7条好习惯，降低虚假警报的数量还是有可能的。

感谢各位的阅读，以上就是“企业如何降低对安全产品的误报”的内容了，经过本文的学习后，相信大家对企业如何降低对安全产品的误报这一问题有了更深刻的体会，具体使用情况还需要大家实践验证。这里是亿速云，小编将为大家推送更多相关知识点的文章，欢迎关注！