想象一下：你刚从一具当之无愧的假期归来，打开安全监控系统，你就面临着分析数千个事件的前景。这不是一具虚构的场景，安全监控世界（实际上是监控）充满了触发事件的异常。这些大概代表了一具真正的咨询题，或者不过某人日常行为中的一具细微差别，大概会触发此类警报。无论缘由是啥，它都会迫使你从大量的事件中筛选出哪些是高优先级的，哪些不是。在这篇文章中，我们将依照真实世界的例子，重点介绍三种能够用来缓解那个咨询题的有效想法。真实价值事件监测界最大的咨询题是哪些异常会引发事故。安全运营团队面临的一具挑战是怎么找到相关且故意义的事件，其中有太多的误报。为了回答那个咨询题，我们还需要扪心自咨询，我们怎么定义一具事件。好吧，这取决于系统域。实际决策需要领域的高级知识，大概需要使用基于定义的复杂算法来突出真正有味的内容。例如，在insider threat域中，系统标识用户首次对数据库执行了操作。这是一具异常，因为它往常从未发生过，但这是一具真正的安全事件吗？为了回答那个咨询题，我们必须对用户和数据库举行分类，并将两者关联起来。如此你就不大概从表面上看到啥了。事件分组一旦确定了真正有价值的事件，减少需要治理的事件数量的一种想法是将它们分组到叙述中，以描述安全工程师能够作为一具整体处理的特定现象。尽管每一具事件基本上有效的，但当把它们组合在一起时，一具更大、更易于治理的叙述会浮上，能够作为一具整体来处理——总和大于其部分。两种类型的分组：按事件类型。例如，"一具服务帐户被多个用户滥用"。这意味着社区能够访咨询此服务帐户，这是一种不行的做法。对这种现象的处理能够更改此帐户的权限。不同类型事件的分组，代表某种叙述。例如，用户滥用了特定的数据库帐户，访咨询了多个应用程序表，访咨询了大量文件。这意味着用户大概会泄露企业的数据。处理这大概意味着评估用户及其行为。Imperva CounterBreach客户数据示例显示了分组怎么减少要处理的事件数。事件的数量在不断增加，而组的数量却在下落直到停止。图1:13组而不是377起事故事件优先级评分传统的安全事件优先级通常是经过划分严峻程度（严峻、高、中、低）来完成的。这种类型的分类并没有提供一具明确的决定应该首先做啥。假设有10起事件被列为关键事件。所有这些都必须即将治疗，但哪一具应该是第一具？建议的解决方案是为每个事件设置一具0到100的优先级分数。事件中不同的标准会增加分数-能够使用不同的计算想法-优先级分数是最后来结果。示例：传统的"过度数据库记录访咨询"事件的严峻性特别高，因为这意味着数据被盗。这类事件有两起，乍一看，大概会以同样的紧急程度来处理，但它们的确是一样的吗？如今让我们更认真地看一下细节：一具人类用户访咨询了生产环境中数据库中的105000条记录。在登台环境中，一具人类用户访咨询了常规数据库中的100000条记录。这些细节清晰地表明，DDoS高防，防DDoS，DDoS防御，第一次事故应在第二次事故之前处理，因为它构成了更大的威胁。使用新想法：事件类型：过度数据库记录访咨询=70。访咨询的记录数>100000–添加+5。数据库在生产环境中–添加+10。基于上述事情，第一具事件的最后来优先级得分为85，而第二个事件的最后来优先级得分为70。也能够对小组举行评分确定评分标准和数值是推断事件顺序是否正确划分优先级的差不多因素。它需要对被监测对象有深入的了解。应用所述想法这些想法中的每一种都能够减少您需要处理的事件数量，DDoS防御，然而，最好实现所有这些。如我们的例子所示，具有实际价值的事件数量大概仍然特别高，非常是假如你有大量的保险。将事件分组能够显著减少要处理的咨询题的数量，然而您仍然希翼懂首先要处理哪些事件或事件组。设置分数能够解决那个咨询题。结论安全监控系统提供了一具很重要的爱护层，然而，当引发的事件数量增加时，治理变得更加艰难，也更加耗时。它甚至大概导致彻底放弃一具系统。关注重要事件（真正的价值事件），提供全局（对事件举行分组）并定义明确的优先级（事件优先级评分）能够更快、更有效地举行调查。如此，就实现了监测的真正价值。Imperva CounterBreach解决了所有这些要求，请与我们联系，让我们看看我们能提供哪些关心。

当前位置：主页 > 行业资讯 > 优化监控系统：有DDoS高防效治理事件的三种想法