SIEM 规则调优
SIEM 规则调优 是什么?
SIEM 规则调优对 SIEM 中检测规则进行持续优化,以降低误报、消除盲区,并使其与组织的威胁模型保持一致。
SIEM 规则调优是一项运营性工作,内容是对 Splunk、Microsoft Sentinel、Google Chronicle、Elastic Security 等平台中的关联搜索、阈值、排除项和富化逻辑进行精细化打磨。开箱即用的规则在真实环境中往往噪声很大,因为它们忽略了本地上下文,例如资产重要性、工作时间和合法的运维工具。调优工作结合分析师反馈、MITRE ATT&CK 覆盖映射、检测工程实践(版本控制、单元测试、紫队验证)以及信噪比、MTTD、误报率等指标。做得好,可以显著提升 SOC 效率并缓解分析师疲劳;做得差,则会留下被攻击者利用的盲区。
● 示例
- 01
为合法触发 "端口扫描" 告警的漏洞扫描器添加排除项。
- 02
把一条噪声很大的规则按资产等级拆成多条,分别设定不同严重级别。
● 常见问题
SIEM 规则调优 是什么?
对 SIEM 中检测规则进行持续优化,以降低误报、消除盲区,并使其与组织的威胁模型保持一致。 它属于网络安全的 防御与运营 分类。
SIEM 规则调优 是什么意思?
对 SIEM 中检测规则进行持续优化,以降低误报、消除盲区,并使其与组织的威胁模型保持一致。
SIEM 规则调优 是如何工作的?
SIEM 规则调优是一项运营性工作,内容是对 Splunk、Microsoft Sentinel、Google Chronicle、Elastic Security 等平台中的关联搜索、阈值、排除项和富化逻辑进行精细化打磨。开箱即用的规则在真实环境中往往噪声很大,因为它们忽略了本地上下文,例如资产重要性、工作时间和合法的运维工具。调优工作结合分析师反馈、MITRE ATT&CK 覆盖映射、检测工程实践(版本控制、单元测试、紫队验证)以及信噪比、MTTD、误报率等指标。做得好,可以显著提升 SOC 效率并缓解分析师疲劳;做得差,则会留下被攻击者利用的盲区。
如何防御 SIEM 规则调优?
针对 SIEM 规则调优 的防御通常结合技术控制与运营实践,详见上方完整定义。
SIEM 规则调优 还有哪些其他名称?
常见的别称包括: 检测规则调优, 用例调优。
● 相关术语
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- defense-ops№ 1064
SOC 成熟度模型
从人员、流程、技术与服务四个维度评估安全运营中心,为多年期的能力提升路线图提供依据的框架。
- defense-ops№ 307
检测工程
以代码方式设计、测试、部署并维护安全检测的学科,可对对手技术实现可度量的覆盖率。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 1081
Splunk SPL 查询
使用 Splunk 搜索处理语言(SPL)编写的查询,用于过滤、转换、关联和可视化机器数据,服务于检测、狩猎与报表。
- defense-ops№ 406
误报
将正常活动标记为恶意的安全告警,消耗分析人员时间并削弱对相应检测规则的信任。