告警筛选降噪
场景说明
海量告警导致告警疲劳,安全团队被噪声淹没,难以有效应对真正威胁。使用X情报API可快速对告警进行分类分级,帮助团队识别高优先级告警,提升安全运营效率。
使用的X情报API
IP信誉API:https://x.threatbook.com/v5/apiDocs/ip/reputation
核心字段
is_malicious:是否为恶意IP。true代表恶意,false代表非恶意。
judgments:IP地址的威胁情报判定标签,用于获取IP地址的上下文
具体使用方法
使用步骤说明
-
从所有的网络流量告警日志中,筛选出从互联网侧向服务器区主动发起攻击的告警日志(攻击方向为外对内),并提取互联网侧的攻击源IP地址。如果告警日志中没有标记攻击源IP地址,可以从访问源IP地址,或者X-Forward-For字段中(有负载均衡的情况)进行提取。
-
将攻击源IP地址作为请求参数,调用IP信誉API进行查询。
-
综合考虑告警检出结果和源IP地址情报判定和标签进行告警分类分级。
注意:情报信息仅能体现攻击源IP地址的历史的行为和威胁判定,请勿在告警优先级判定时,忽略安全设备对当次告警的检出结果,仅使用情报信息进行判定。
| 源IP地址包含如下情报信息 | 含义描述 | 建议的告警分析处置优先级 |
|---|---|---|
| is_malicious=true && judgements in ("Exploit","Brute Force") | 源IP地址被情报标记为恶意,且存在漏洞利用,暴力破解等行为 | 高 |
| is_malicious = true | 源IP地址被情报标记为恶意 | 中 |
| is_malicious = false && judgements in ("IDC","Dynamic IP") or scene in ("Cloud Provider") | 源IP地址被情报标记非恶意,但属于IDC机房、动态IP或公有云服务 | 低 |
云API是北京微步在线科技有限公司旗下产品了解微步在线《用户服务条款》《数据保护政策》
联系我们:api@threatbook.cn
联系我们:api@threatbook.cnCopyright © ThreatBook.CN All Rights Reserved. 京ICP备15044984号-4 北京微步在线科技有限公司 京公网安备11010802025715号