如何实现最佳的基于风险的告警（再见 SIEM，NDR来啦）

攻防

1月前

您是否了解网络流量检测和响应 (NDR)？它是如何成为最有效的网络威胁检测技术？

通过你所在组织的系统及数据的潜在风险确定告警的优先级，即基于风险的告警，NDR可以大幅提升组织的安全性。如何做到？NDR的实时分析、机器学习和威胁情报可以提供实时检测能力，同时减少告警疲劳，帮助实现更好的决策。与SIEM相比，NDR提供自适应网络安全，减少误报并实现高效的威胁响应。

为什么要使用基于风险的告警？

基于风险的告警本质上是一套关于优先级的方法论，它根据组织的系统、数据和整体安全态势共同形成的风险级别，来确定安全告警和响应的优先级。该方法使组织能够集中资源首先解决最为关键的威胁。

基于风险的告警可以带来更有效的资源分配，同时它还有以下优势：

1、基于风险确定告警的优先级，组织可以更有效地分配资源，从而节省更多时间。

2、高风险告警可以得到及时处理，而低风险告警可以以更系统、较少投入资源的方式进行管理。

3、安全团队在处理大量告警时经常面临告警疲劳，其中许多告警可能是误报或小问题。因此，基于风险的告警允许团队专注于具有最大潜在影响的告警，从而有助于减少告警疲劳。这对于避免或最大程度地减少安全事件的影响至关重要。

4、根据风险确定告警的优先级可以帮助您做出更好的决策。例如，应首先调查哪些告警，如何根据对组织的潜在影响分配资源等等，安全团队都可以做出更明智的决策。

5、它还可以帮助团队更好地将威胁情报整合到决策过程中。通过考虑威胁的上下文，深入了解其潜在影响，组织可以更好地评估告警的严重性。

建立基于风险的网络安全策略的3个步骤

1、NDR 在基于风险的告警中的作用

在促进或实现将基于风险的告警落实到组织网络安全策略中时，网络流量检测和响应 (NDR)发挥着关键作用。

NDR解决方案旨在检测和响应网络流量中的威胁，可以深入了解各种活动或事件的潜在风险：它们分析网络流量的模式和行为，以检测表明潜在安全风险的异常情况。

利用网络活动、网络节点的权重、达到阈值的各种告警的汇总等上下文信息，NDR可以根据证据的权重定义不同的告警级别。此外，可以在资产管理中定义特定的关键区域。资产上下文对于评估安全告警的严重性和潜在影响至关重要，同时也符合基于风险的方法论。

2、利用威胁情报源增强风险评估

NDR解决方案集成了威胁情报源，因此具备丰富的用于网络活动分析和分类的数据。OSINT、Zeek或MITRE ATT&CK信息都可以增强NDR的准确性。这种集成增强了针对特定告警评估风险的能力。

一些NDR系统提供自动响应功能，帮助组织快速响应高风险告警。这与基于风险的告警立即解决关键威胁的目标是一致的：

• 根据各种因素（包括检测到的活动的严重性、事件的上下文、受影响的资产或系统以及历史数据）为检测到的事件或告警分配风险评分。目的是评估检测到的事件的潜在损害或影响。

• 在风险评估环节，影响风险评估的因素不同，其权重也不相同。例如，涉及关键资产或特权帐户的活动可能会获得更高的风险评分。明显偏离既定基线或模式的事件也可能被赋予更重的权重。

• 在正常网络活动背景下发现隐藏攻击时，关联告警发挥着至关重要的作用。告警关联性的增强，可以最大限度地减少分析师必须处理的单个告警的数量，从而显着减少分析师的工作量。

3、自动响应高风险告警

战略性地使用自动化，对于加强网络防御潜在攻击至关重要，特别是考虑到攻击者可能利用网络中海量的日常通信。

NDR已经集成了用户和实体行为分析，用以分析网络内（例如用户或设备）的行为，因此可以更轻松地检测到内部威胁、受损帐户或可疑用户的行为，并将其用于风险评估。

由于风险评分不是静态的，而是会随着时间的推移而变化，因此可以随着新信息的出现或安全态势的发展而随之调整。如果原本的低风险事件升级为高风险事件，则风险评分也会相应调整。

利用NDR结合机器学习进行动态风险评估，增强网络安全

机器学习算法可以筛选大量数据以建立网络行为的标准模式或基线。这些基线可作为识别可疑或恶意活动的基准。自动化使安全团队能够集中精力调查和缓解高风险告警，从而提高整体效率。机器学习算法可以不断学习并适应新的模式和威胁，使安全系统更具适应性，并能够应对新出现的风险。在快速发展的网络安全领域，持续学习是非常宝贵的。

通过将机器学习整合进NDR能力中，组织机构可以动态地评估网络中各种活动的风险。机器学习算法可以适应不断变化的威胁与网络行为变化，有助于更精确的风险评估和和更迅速的安全响应。