【安全运营】安全运营关于告警降噪的一些梳理

于 2025-03-19 21:16:12 发布
阅读量1.2k 收藏 23
点赞数 8
分类专栏: 攻防测试 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42742658/article/details/146380647
版权

目录

前言

日常安全运营会面对海量的告警,怎么对告警进行过滤和降噪是一个必然的问题,也是一个被问最多的问题,今天我就做个统一梳理。

说起方式方法其实很多,例如智能降噪,关联分析,业务白名单,自动化归并,数据标准化,攻击成功判定,自动化等等,但是实际上现在用的比较多的还是加白,各种各样的加白(比较传统但有效),业务相关加白,IP 加白,文件加白,md5 加白,标签加白,进程加白,域名加白等等

一、智能技术层面

1、机器学习和 AI 模型训练

  • 误报过滤:利用机器学习算法对历史告警信息进行训练,提高识别并过滤误报的能力。例如,通过流量模式分析、用户行为分析等方法。这方面的代表如 AISOC。
  • 动态调整:根据新型攻击方式,动态优化模型并调整规则。

2、攻击成功判定

  • 验证攻击的有效性:通过分析攻击请求与服务器响应的关联(如HTTP状态码、回显内容),判断攻击是否成功。例如,SQL注入攻击若返回“数据库错误”则可能是真实攻击,而状态码200可能是误报。
  • BAS验证:安全防护能力验证,了解自身的防护能力水平。
  • 威胁情报关联:关联威胁情报对攻击的有效性进行辅助判定。

二、多源关联分析

1、多源设备关联(跨设备日志整合)

  • 将防火墙、IDS、终端日志等多源数据关联分析,构建攻击全景图。例如,通过MITRE ATT&CK框架识别攻击链中的TTP(战术、技术、过程)。案例:发现内网IP同时爆破多个主机或使用多个用户名,可能表明横向移动,需触发应急响应。

2、上下文信息增强

  • 业务场景结合:结合业务流量特征(如特定时间段的合法登录行为)过滤误报。例如,排除业务脚本的密码错误或周期性测试行为。
  • 时间戳与时区统一:确保日志时间戳格式一致,避免因时间错位导致误判(如知乎讨论中提到的微软SOC实践)。

三、业务白名单和策略优化

1、动态白名单机制

  • 合法 IP/行为加白:深入了解业务,将业务所需的IP、行为和操作加入白名单以减少误报。
  • 限时降噪:对业务的测试行为或者脚本设置临时加白和报备。例如,产线需要进行漏扫时进行扫描报备。
  • 各种加白方式:文件加白、MD5加白、域名加白、进程加白、标签加白(标签资产体系)。

2、阈值和规则调整

  • 智能阈值设定:根据业务流量基线动态调整告警阈值。例如,对SSH登录失败次数的阈值区分内外网(内网阈值可更低)。
  • 告警规则过滤:对业务一些已知正常行为进行过滤(包括红队行为等已知行为)。

四、自动化和流程化

1、告警归并与去重

  • 同类告警合并:将同一攻击源、目标或模式的告警合并为一条,减少重复处理(如微步TDP的同类告警归并策略)。
  • 优先级排序:根据攻击严重性(如CVSS评分)或来源(内网/外网)对告警分级,优先处理高风险事件。
  • 频率抑制:同类的告警抑制告警的频率,例如根据攻击IP或者模式限制告警为每4小时产生一次。

2、同类型事件自学习

  • 机器学习:借助机器学习中的监督学习范式,将运营人员日常运营的告警事件当作训练资料喂给模型,让模型学习和进化。建议用作辅助判断,例如告诉运营人员历史上同类型的事件是怎么处理的,并给出处理建议,不建议放开让机器自己操作。

3、自动化响应与 SOAR(安全编排自动化响应)集成

  • 自动化处置:对低风险告警(如已知误报)自动标记或关闭,释放分析师资源。
  • SOAR(安全编排自动化响应):通过预设剧本(Playbook)自动执行部分响应动作(如阻断IP、收集日志)。

4、借助UEBA(用户与实体行为分析)

  • 告警降噪:面对海量的日志和告警信息,UEBA层层抽取实体和行为的理念本身也具备很好的降噪效果。例如从告警中抽象出实体,定义规则抽取实体的行为,定义规则对实体的异常行为生成告警,还可以方便地定义告警生成后的处置动作和是否需要关联人工分析等。
  • 时序检测:利用UEBA理念做到时序检测(或者叫行为序列),在一段时间内,多个行为有序或无序被触发生成的告警。例如攻击IP批量SSH爆破后,触发对受害IP的SSH登录成功行为,这种判断就很精确了。
  • 关于 UEBA【安全运营】用户与实体行为分析(UEBA)浅析

5、借助 AI flow 工作流

  • AI工作流:现在比较先进的告警处理手段,依赖前期的基础建设。通过定义智能体、工作流和插件的方式处理告警事件。理论上AI工作流可以处理任何工作。
    • 概念关系
      • 智能体:可以包含多个工作流,智能体的上限是应用。
      • 工作流:可以包含多个单位工具插件(或功能节点),和多个AI能力调用。
      • 插件(功能节点):原子功能单位,代码或者服务的形式出现。
    • 设计思路
      • 创建处理不同来源的告警事件的智能体,例如专门处理天眼告警的智能体,专门处理NGSOC告警的智能体,或者直接处理告警的智能体(类型在工作流中区分)等。
      • 工作流的设计发挥的空间更大,先将处理事务的步骤划分出来(变成节点),有几个步骤,每个步骤完成什么样的输入和输出,哪个步骤需要AI能力的加持,需要给这个AI能力预设的提示词是什么,温度值是多少,输出统一什么结构等等。
      • 插件(功能节点):插件可以是一个AI模型的调用,可以是一个公共的服务接口调用,可以是一段Python代码实现了某种功能等等,插件的串联形成了工作流,多个工作流汇聚成了智能体的能力。
    • 如何告警降噪
      • 将更定制化的事件交由智能体自动处理,人工只负责审核智能体处理的结果。
      • 智能体不能自动判断或处理的事件将转交人工分析,大大减少了分析师成本。

五、数据标准化与工程化

1、日志格式统一

  • 标准化数据输入:确保所有安全设备的日志格式、时间戳、字段一致,便于关联分析。
  • 字段拓展:添加上下文字段(如用户身份、资产归属),辅助判断告警合法性。
  • 字段映射:将多种安全设备的日志字段映射成通用的“元字段”,这些元字段多为一些基础字段,例如attack_ip、device_ip、source_ip、destination_ip等,其他个性化的字段则作为扩展字段补充。

2、特征提取与标签化

  • 攻击特征库构建:通过时序挖掘技术提取攻击模式(如暴力破解的频率、IP分布),并标注为已知威胁。
  • 异常检测:利用统计模型(如孤立森林)识别偏离正常模式的流量,减少误报。

六、人员协同

1、业务侧措施

  • 业务侧协作:加深安全运营人员对业务的了解深度,减少业务操作引发的事件告警处理。
  • 敏感操作报备:业务在特定时间内进行一些敏感操作或可能触发安全事件的提前进行告知,避免和安全人员之间的乌龙。
  • 业务安全接口人机制:接口人在安全部门培训学习,了解哪些操作违规违法或者数据敏感操作,及时反馈到业务并起到监督和协调安全部作用。

2、安全团队

  • 事件分级处理:将告警事件分类分级,对应不同的处理方式,如自动化处理告警,人工介入简单分析告警,人工介入复杂分析告警,应急响应告警等(对应微软的一级响应、二级响应、三级响应等)。
  • 知识库构建:建立常见的安全场景、业务场景案例及处理方案,减少重复分析。

by 久违

从观测到预警:智能化浪潮下的网络流量运维转型实践
银行信息系统架构详解
02-26 36
智能算法能够敏锐捕捉到这种连锁反应,在发现链路流量异常时,不仅排查链路自身问题,还同步检查所有从属应用,通过关联分析找出问题的 “始作俑者”,为运维人员提供全面、精准的故障排查路径,大幅缩短故障修复时间,确保整个业务链路的稳定运行。从监控对象层面出发,能够区分不同链路、应用、业务系统所产生的流量指标,并为每个监控对象构建专属的流量指标画像,将不同监控对象的告警通过算法分析进而对告警进行聚合、降噪、升级等操作生成一条具有故障指向性的事件告警。当实际流量超出此范围时,及时触发告警,实现精准的异常检测。
【大数据安全分析】数据传输方式
风一样
02-11 1553
NetFlow 缓存包含了随后数据流的统计信息,一个 NetFlow 流定义为在一个源 IP 地址和目的 IP 地址间传输的单向数据包流,且包括源 / 目的 mac 地址、源 / 目的端口、包大小、数据包中传输的具体内容等。这些丰富信息如同详细的货物运输清单,让我们全面了解网络数据流情况,为网络流量分析、安全检测等提供有力数据支持。通过分析 NetFlow 数据,可以发现网络中的异常流量,如某个 IP 地址在短时间内大量发送数据包,可能是遭受了 DDoS 攻击;
关于告警降噪
weixin_43488911的博客
10-25 1253
不准的,让人工判断。A1:基线降噪貌似没人说,这个和白名单还不一样,周期性生成就行,类似七天内第一次收到的发件人,三日内第一次执行的cmd,复杂点上算法 onesvm这种入门可以,稍微复杂点算法可以看我之前发的论文 zerowall,自动学习waf基线的一个paper,我给了四种方法,前两种是统计学后两种是算法,由浅入深,前两种没用过的可以先试下。采用多个设备的日志联合分析,解决SOC误报数量过大的一部分问题,但是多个设备的联合分析,基于简单的规则的话,还是很容易产生噪声过大的问题,个人感觉这块,
基于VB上网日志行为异常的网络安全预警系统
03-12 634
本系统开发过程以现代软件开发的工程思想为原则,利用敏捷开发为指导,迅速创建网络安全预警系统的原型,接着对创建的系统原型进行功能改造,不断增加系统功能,直至达到预期的系统。本系统设计过程主要有客户端应用程序的创建和后台数据库的详细设计和创建。开发使用的平台为win10操作系统,编程工具采用的是VB6.0,数据库使用的是Access2003。利用VB6.0可视化开发技术迅速实现系统的运行界面,并把采集分析的网络日志进行入库分析统计,进而得到网络安全预警。
产品新说 | 智能运维告警的智能聚类、压缩及降噪
智能运维及数据中台探索
05-20 2288
伴随着数字化转型的迫切需求,企业的IT架构随着对业务和用户体验的需求增加而变得越来越庞大,跨云部署使运维工作变得更加复杂。当业务出现异常波动时会产生海量的告警信息,使得运维工程师对告警信息的甄别及处理面临着巨大的挑战。本文将和大家分享告警噪音产生的原因,擎创告警压缩降噪的两阶段方法论和擎创产品针对告警噪音的解决方案。
AI: 大模型训练中的去噪技术
十年运维开发经验的王义杰在此分享自己的知识和经验
07-08 1037
在现代机器学习中,大模型(如深度神经网络和变换器模型)已经变得非常普遍。然而,这些模型的训练过程往往受到噪声数据的干扰。去噪技术在提高模型的性能和稳定性方面起着关键作用。下面,我们将探讨几种常见的去噪技术及其应用。
如何做到告警的智能降噪
睿象云的博客
05-08 806
为何要压缩告警? 运维监控工具/平台,一般是通过配置固定阈值,达到阈值后自动触发/生成告警。如网络中断、闪断;系统升级更新;设备多监控内容多等情况下,更会产生海量告警。以下为告警管理常见问题: l 故障期间,告警风暴,手机/邮箱会被海量告警淹没; l 运维人员很难从海量告警从筛选出重要告警,容易忽略重要告警; l 固定阈值控制,频繁误报、漏报告警; 如何实现告警压缩与降噪? 睿象云智能告警平台 C...
智能运维中的关键一步——告警管理
wgp379的博客
04-26 791
在复杂的运维工作中,如何将告警有效的管理是运维工作中关键而重要的一步,有效的告警管理可以将大大提高运维人员的工作效率;睿象云智能告警平台Cloud Alert(简称CA)快速接入各类事件,通过人工智能算法自动发现、诊断、修复IT系统运行事故,并能帮助企业形成最佳事件管理流程,让业务运行更加安全可靠;接下来就来详细的说下吧~ ● 支持多平台应用一体化管理 用户可以将多个监控平台接入到CA当中进行...
行业方案|“机场”行业智能运维解决方案介绍
Sharon0408的博客
09-21 2279
2022年1月7日国家出台了“十四五”民用航空发展规划, 规划表明2021-2025年中国民航业将呈现两阶段发展,其中2021-2022年是恢复期和积蓄期,2023-2025年是增长期和释放期。在第二阶段,将重点扩大国内市场、恢复国际市场,提高对外开放水平, 加快提升容量规模和质量效率等,以此全方位推进民航高质量发展。中国民用航空局机场司副司长张锐,针对民航机场目前发展面临的困难与挑战提出了一些思考。
实习答辩PPT---暑期
08-17
* 数据分析:数据分析、告警降噪分析、统计满意度调研数据 数据分析 * 告警降噪率:>=30%,实际降噪率27.78%,28.64%,32.74% * 数据分析:梳理监控告警运营数据计算逻辑,统计满意度调研数据 工作回顾 * 工作...
On-call机制——一种有效运维的方法
睿象云的博客
03-09 3595
对于On-cal这一词,国内并没有特别明确的说法,因为这是个欧美流传过来的叫法。国内与之相接近的意思大致就是值班,再详细一些的说法便是指企业为了快速相应生产故障或者重大事件,在某段时间内指定某个人或者某组人随时待命(类似值班)。在故障发生的一瞬间,会以邮件、短信、电话等形式通知到负责人,以保障第一时间的处理。 正所谓,没有零bug的程序,没有零问题的系统,因此互联网技术的发展也是时刻离不开运维的支撑,与此同时,On-call机制的理念也逐渐流行开来,但依旧会存在没能有序但处理: 海量的事件淹没了重要事件,
企业部署AIOps的重要性
LinkedSee2021的博客
03-09 273
随着本土化APM的逐渐推进,AIOps也逐步走进了大家的视野。通过AI技术的加持,对运维工作赋予了更多的智能化、数据化标准,那么下面我们一起走进文章,来聊一聊AIOps的重要性。 随着企业业务扩大、IT资源丰富、业务模式多元化,IT运维系统的落后开始逐渐体现出来。独立的IT监控系统发生故障后,查找故障根因困难,导致MTTR时间周期长,面对监控系统大量告警信息,运维部希望精简告警量并随时随地了解最新故障状态,从而实现及时介入,精确修复故障。 国际最具权威的IT研究顾问咨询机构Gartner在2017年发
通知&告警治理(降噪)的7种方法
xiexiaojing的博客
03-07 4010
情景&任务很多团队的成员都被海量通知和告警所困扰:工作日打开邮箱,几百几千封的邮件。虽然可以通过邮件过滤器将邮件分组,让自己快速找到自己最关心的内容。但是还是不可避免过个1年半载邮...
治理告警风暴,告警降噪的一些典型手段
n9ecommunity的博客
04-19 888
很多公司希望提升服务稳定性,而上线了各类监控系统,指标的、链路的、日志的,而且只是指标层面可能就会有多个监控系统,这么多监控系统、这么多监控目标,如果没有良好的治理,很快就会产生告警风暴的问题,如何通过一些手段达到告警降噪的效果呢?在现代化的互联网架构中,告警是监控系统中最为重要的一部分,可以帮助运维人员及时发现并解决问题,确保服务的可用性和稳定性。但是,随着业务的不断扩大和系统的不断升级,告警数量也会快速增加,导致告警风暴的出现,给运维人员、研发人员带来了很大的困扰。
安全运营的“黄金4小时“:如何突破告警疲劳困局
juminfo的博客
02-28 1332
在当今复杂多变的网络安全环境中,安全团队面临着前所未有的挑战。尤其是面对高级持续性威胁(APT)时,最初的“黄金4小时”成为决定成败的关键窗口。在这段时间内,快速而准确地响应可以极大地降低损失,然而,告警疲劳却常常使得这一宝贵的响应时间被浪费。本文将深入探讨如何通过提高告警处置效率来打破这一困局。
基于Alertmanager设计告警降噪系统,成本低可落地
zhuanzhuantech的博客
01-13 1199
在Alertmanager的基础上制定了标签规范、告警分级降噪、分级抑制、告警合并,并扩展了未恢复告警、静默告警告警历史
擎创告警的智能聚类、压缩及降噪
智能运维及数据中台探索
07-14 1309
企业的IT架构随着对业务和用户体验的需求增加而变得越来越庞大,跨数据吣、跨云部署使运维工作变得更加复杂。当业务出现异常波动时,我们所依赖的这些数字化组件会产生海量的告警信息,使得运维工程师对告警信息的甄别及处理面临着巨大的挑战。本文将和大家分享擎创告警辨析中心产品在数字化转型浪潮下如何帮助企业直面告警噪音,一起来看看吧~...
Prometheus 监控报警系统 AlertManager 之邮件告警
热门推荐
哎_小羊的博客
08-04 7万+
Prometheus 是一套开源的系统监控、报警、时间序列数据库的组合,最初有 SoundCloud 开发的,后来随着越来越多公司使用,于是便独立成开源项目。Alertmanager 主要用于接收 Prometheus 发送的告警信息,它支持丰富的告警通知渠道,例如邮件、微信、钉钉、Slack 等常用沟通工具,而且很容易做到告警信息进行去重,降噪,分组等,是一款很好用的告警通知系统。本文介绍 Prometheus 监控报警系统 AlertManager 之邮件告警
告警静默,降噪是什么意思
最新发布
04-25
<think>嗯,用户想了解告警静默和降噪的概念及实现方式,需要结合IT运维监控系统。首先,我得先明确这两个术语的定义。告警静默应该是指在特定时间段或条件下暂时屏蔽某些告警,比如系统维护期间避免不必要的通知。降噪可能是指减少重复或无关的告警,提升告警的有效性。接下来,我需要确认这两个概念的区别和联系。静默更多是主动屏蔽,而降噪是优化告警内容,减少干扰。 然后,实现方式方面,静默可以通过设置时间窗口、匹配规则(如标签、服务名)来实现。降噪可能需要分组、抑制、延迟合并、阈值调整等方法。比如分组可以将相同问题的告警合并,抑制是在某个严重告警存在时忽略低级别告警,延迟则是等待一段时间收集多个事件再触发。 用户可能是在处理监控系统中遇到告警过多的问题,或者希望在系统维护时减少干扰。需要参考提供的引用资料。引用3提到AlertManager的分组机制,引用4提到夜莺的静默配置和多种告警通道,引用5提到SLS的SQL能力。这些资料支持实现方法,比如分组、静默规则、SQL过滤。 可能用户需要具体的实现步骤,比如如何在系统中配置静默规则,或者如何编写过滤条件。同时,用户可能关心如何平衡静默和不错过关键告警,比如设置例外条件或审批流程。此外,降噪中的动态阈值调整可能涉及机器学习,但引用中没有提到,可能需要简要说明。 最后,要生成相关问题,考虑用户接下来可能想了解如何配置具体系统(如Prometheus或夜莺)的静默,或者如何设计有效的降噪策略。也可能想知道不同监控系统的对比,或者实际案例。需要确保问题覆盖概念延伸和实际应用。</think>### 告警静默与降噪的概念及实现方式 #### 一、核心概念 1. **告警静默(Alert Silencing)** 指在特定时间段或特定条件下,主动屏蔽某些告警的通知功能。例如: - 计划内维护期间关闭非关键告警[^4] - 对已知问题关联的重复告警临时静默 2. **告警降噪(Alert Noise Reduction)** 通过技术手段减少无效、重复或低优先级告警的干扰,提升告警有效性。典型场景包括: - 合并同类告警(如集群中多节点同时故障) - 过滤偶发瞬时异常(如网络抖动) - 抑制关联告警(如根因故障触发后屏蔽衍生告警)[^3] --- #### 二、实现方式与技术要点 1. **告警静默的实现** - **时间窗口设置**:按固定周期(如维护窗口)或自定义时间段静默 - **规则匹配**:基于标签(`service=payment`)、正则表达式等过滤条件 - **层级控制**:支持全局静默或按租户/项目/服务粒度控制[^4] ```sql /* SLS示例:静默特定服务的数据库超时告警 */ ALTER SILENCE CREATE MATCHERS (service="order_db", alertname="HighLatency") START 2024-01-01T00:00:00Z END 2024-01-01T02:00:00Z ```[^5] 2. **告警降噪的关键技术** | 技术 | 说明 | 示例场景 | |---------------|----------------------------------------------------------------------|------------------------------| | **分组(Grouping)** | 按应用/环境等维度聚合告警,避免信息过载 | 同一微服务的多个实例故障[^3] | | **抑制(Inhibition)** | 定义告警依赖关系,抑制次要告警 | 主机宕机后忽略其上的服务告警 | | **延迟(Delay)** | 设置缓冲时间窗口,合并短时间内的重复告警 | 网络瞬断恢复后自动清除告警 | | **动态阈值** | 基于历史数据自动调整告警触发条件 | 业务高峰期的流量波动 | --- #### 三、IT运维中的实践建议 1. **静默管理规范** - 强制审批流程:所有静默规则需经值班主管审批[^4] - 自动恢复机制:静默规则过期后自动失效 - 例外清单:核心业务指标禁止静默 2. **降噪优化方向** - 引入机器学习分析告警关联性(需结合日志/指标/Tracing数据)[^1] - 建立告警优先级矩阵(P0-P3分级响应) - 对接统一告警平台(如SLS支持多监控源集成)[^2] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

久违 °

小菜鸟就要使劲飞

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值