安全告警数据是网络安全领域中的重要组成部分,通过对这些数据的分析,可以发现潜在的威胁和漏洞,从而采取相应的防护措施,以下将详细探讨安全告警数据的相关内容:
1、
背景介绍:随着企业网络结构的复杂化,如复杂的网络分区、企业上云、新型网络设备等,安全设备的告警量与日剧增,虽然SOC团队一般会对这些告警数据进行存储,但是暴增的数据量与合理分析方法的缺失进一步加重了SOC团队的压力。
重要性:在网络安全领域最重要的还是“数据”,做攻击离不开各种资产数据、漏洞数据,做防御离不开资产数据、设备告警数据,对各种攻击活动的分析更是离不开DNS、样本、用户行为等数据。
2、安全告警分析的能与不能
局限性:基于网络侧的安全告警数据分析无法解决不经过安全设备的流量、不在规则中的攻击行为以及加密流量等问题。
优势:通过分析海量安全告警数据,可以对IP做部分资产梳理工作,不同类型的资产对应的告警差异性往往较大,还可以用于灰色行为识别和攻击行为识别。
3、安全告警数据分析
数据基本组成:本文收集了某中型企业的一次网络攻防演习(共计5天)的网络侧安全告警数据,基本的数据统计信息如图2所示,在这5天之内,每天收集到的告警数据多达上千万条,五天总计5000多万条告警,认证类、目录遍历类和文件传输类的告警为数量占比前三的告警类型。
数据分析步骤:包括提取有用字段和数据去重两个步骤,在提取有用字段时,需要对数据的可用字段做一定的筛选,最终挑选出timestamp、sip、dip、device_ip、dport、log_message、payload、q_body、r_body等9个有用字段,在数据去重过程中,需要删除同一时刻同一攻击者对同一目标的攻击行为产生的重复告警。
4、异常处理
异常构成:在企业内部网络中,业务复杂、用户行为复杂,这些复杂的网络活动造成大量所谓的“异常”事件,根据安全运营中告警的严重程度,将告警分为无法分类的告警、正常告警、忽略类告警、低危告警、灰色行为和高危告警等六类。
异常检测:网络流量异常检测已经发展20多年,工业界所说的UEBA其实也是异常检测,面对海量异常但良性的告警,需要对这些异常告警进行处理,找到真实由攻击者攻击触发的告警。
5、安全警告的原因及解决方法
原因:“安全警告”的原因可能是因为表格有外部数据链接或是因为表格有宏代码。
解决方法:可以通过Excel选项中的“信任中心设置”来关闭相关警告,对于宏的安全警告,可以选择“禁用所有带通知的宏”;对于文件的安全警告,可以选择取消选中不想再收到警告的文件类型旁边的复选框。
安全告警数据是网络安全领域的重要资源,通过对这些数据的深入分析,可以挖掘出潜在的价值,为企业的日常安全运营提供支持,在分析过程中也需要注意数据的局限性和误报问题,并采取相应的措施进行处理。
各位小伙伴们,我刚刚为大家分享了有关“安全警告数据”的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/17069.html<
