企業如何降低對安全產品的誤報

這篇文章主要講解了“企業如何降低對安全產品的誤報”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“企業如何降低對安全產品的誤報”吧！

那么什么原因造成了虛假警報呢？

據懸鏡服務器衛士的工作人員了解到：誤報最常見的成因是配置不良或調整不佳的安全工具，例如SIEM、入侵檢測系統、入侵防御系統、終端檢測與響應工具。

這些系統利用了很多基于一套預定義規則（如已知簽名、模式、預期的用戶行為等）的攻擊檢測技術。

當這些工具中的某個規則、簽名或模式定義得太寬泛或缺少某些邏輯時通常就會產生誤報。根據當前邏輯識別安全事件，就容易產生虛假的威脅事件報警。

下面推薦7個基本習慣可供企業或組織參考借鑒，最大程度地降低誤報率：

1）主動出擊。

將你的威脅管理方式變得積極主動，如果你所做的就是等待警報響起和警報消失，那么你的時間都會花在誤報的處理上而不是發現真正的威脅。主動發現威脅，這是檢測最新網絡威脅唯一經過驗證的方法。

2）目標優先

正確使用報警技術能夠大大提高我們識別可疑或惡意活動的能力，這也是懸鏡服務器衛士一直在追求的的目標。但很多企業、組織大范圍地應用該技術，忽視了重點關注你計劃檢測的威脅類型這一關鍵點。

評估你所在企業的風險與安全需求，然后再將報警技術應用于最高風險威脅事件。重點關注你的最終目標，也就是和你計劃檢測最相關的威脅類型，這會大大降低誤報率。

3）高風險警報優先

優先化是SOC減少因誤報而造成時間浪費最好的工具之一。可靠性最高并帶有檢測高風險事件的報警無疑應該被列為優先處理項。

利用這種方法分析人員就可以根據優先級分別處理，確保首先解決風險最高的事件。

4）雙贏思維

把人們看做是一個合作性的群體而不是競爭性的。選擇合作性的情報源，為你的安全操作中心帶來不同的真實性、相關性和價值資源。

（當然要進行明智地選擇；如果不夠小心，盲目地整合情報站點資源而不評估其真實性，這樣產生的誤報率會對安全操作中心帶來負面影響。）

5）注重理解

處理誤報問題首先應該全面理解已有工具想要處理的是什么威脅以及它的運作方式。使用某個工具時，你也應該徹底明確你部署它的原因，而不是根據“常見”情況而作出假設，切忌在默認設置的情況下安裝某個工具。

6）協同處理（利用相關性）

很多情況下，一個事件可能不足以引起重視，除非它與其它利益事件一起被觀察到。出現這樣的情況時，你應該使用一套定義清晰的相關性規則，若各個事件滿足所有相關性標準，那么只發送一條警報至分析師的處理安排表中。

7）保持更新。

復查以前的警報，不斷吸取教訓，更好地制定報警規則。警報復查能夠讓你明白如何調整、改善現有規則。

如今的網絡威脅十分復雜，降低誤報率需要智能化、有針對性的警報邏輯來提取重要事件。因此持續調整這種邏輯非常重要。

雖然虛假警報在網絡安全操作中總是會存在，但通過遵循以上7條好習慣，降低虛假警報的數量還是有可能的。

感謝各位的閱讀，以上就是“企業如何降低對安全產品的誤報”的內容了，經過本文的學習后，相信大家對企業如何降低對安全產品的誤報這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！