雷神Foreground Security的高管Carl Manion 2016年11月7日发布博文共享了他应对虚伪警报、防止时刻糟蹋的有用经历。

虚伪警报指的是那些让你堕入忧虑，但进一步查询后发现虚惊一场的警报告诉。

刚开始人们觉得这些误报如同只会带来细微的不方便，但假如每天都有成百上千次误报发生，你会发现它们简直占去了你每天四分之三乃至更多的时刻！

更糟糕的是，这确实发生在全球大多数安全操作中心（SOC）网络安全剖析师的身上，由于他们一向遵从着传统的、被迫的要挟监测办法。

在大多数SOC中，误报是一个要害难题。它们不光需求花必定的时刻和资源来处理，并且还会涣散安全剖析师处理真实安全要挟的精力。

这些剖析师或许会由于每天处理许许多多的虚伪警报而发生“警报疲惫症”，对各种警报的敏感度下降，终究遗失真实会发生网络进犯行为的痕迹。

那么什么原因形成了虚伪警报呢？

据悬镜服务器卫兵的工作人员了解到：误报最常见的成因是装备不良或调整欠安的安全东西，例如SIEM、侵略检测体系、侵略防护体系、终端检测与呼应东西。

这些体系运用了许多依据一套预界说规矩（如已知签名、形式、预期的用户行为等）的进犯检测技能。

当这些东西中的某个规矩、签名或形式界说得太广泛或短少某些逻辑时一般就会发生误报。依据当时逻辑辨认安全事情，就简单发生虚伪的要挟事情报警。

下面引荐7个根本习气可供企业或安排参阅学习，最大程度地下降误报率：

1）自动出击。

将你的要挟管理办法变得积极自动，假如你所做的便是等候警报响起和警报消失，那么你的时刻都会花在误报的处理上而不是发现真实的要挟。自动发现要挟，这是检测最新网络要挟仅有经过验证的办法。

2）方针优先

正确运用报警技能可以大大提高咱们辨认可疑或歹意活动的才能，这也是悬镜服务器卫兵一向在寻求的的方针。但许多企业、安排大范围地运用该技能，忽视了要点注重你方案检测的要挟类型这一要害点。

评价你地点企业的危险与安全需求，然后再将报警技能运用于最高危险要挟事情。要点注重你的终究方针，也便是和你方案检测最相关的要挟类型，这会大大下降误报率。

3）高危险警报优先

优先化是SOC削减因误报而形成时刻糟蹋最好的东西之一。可靠性最高并带有检测高危险事情的报警无疑应该被列为优先处理项。

运用这种办法剖析人员就可以依据优先级别离处理，保证首要处理危险最高的事情。

4）双赢思想

把人们看做是一个协作性的集体而不是竞争性的。挑选协作性的情报源，为你的安全操作中心带来不同的真实性、相关性和价值资源。

（当然要进行明智地挑选；假如不行当心，盲目地整合情报站点资源而不评价其真实性，这样发生的误报率会对安全操作中心带来负面影响。）

5）注重了解

处理误报问题首要应该全面了解已有东西想要处理的是什么要挟以及它的运作办法。运用某个东西时，你也应该完全明晰你布置它的原因，而不是依据“常见”状况而作出假定，切忌在默认设置的状况下装置某个东西。

6）协同处理（运用相关性）

许多状况下，一个事情或许不足以引起注重，除非它与其它利益事情一同被观察到。呈现这样的状况时，你应该运用一套界说明晰的相关性规矩，若各个事情满意一切相关性规范，那么只发送一条警报至剖析师的处理安排表中。

7）坚持更新。

复查曾经的警报，不断吸取教训，更好地拟定报警规矩。警报复查可以让你理解怎么调整、改进现有规矩。

现在的网络要挟十分复杂，下降误报率需求智能化、有针对性的警报逻辑来提取重要事情。因而继续调整这种逻辑非常重要。

尽管虚伪警报在网络安全操作中总是会存在，但经过遵从以上7条好习气，下降虚伪警报的数量仍是有或许的。

以下是描绘这7个习气的汉化版信息图。

*本文原创作者：Carrie_spinfo，转载来自FreeBuf（FreeBuf.COM）

 悬镜小编以为：网络安全在当今社会也越来越重要，所以这也是为什么许多企业花许多钱专门组成相应的团队的原因。