SIEM 用例生命周期
时间:2022-04-23 11:36:02 | 来源:行业动态
时间:2022-04-23 11:36:02 来源:行业动态
图片由 IBM 提供
在 SIEM 用例的生命周期中,用例有多个输入点。这取决于将数据馈送到用例的源头。在 SOC 的日常操作过程中,用例将通过 1 级或 2 级 SOC 分析师获取输入信息。这些输入信息中的大部分均归因于误报检测。如果 SOC 内配备威胁搜捕和情报功能,则将根据当前用例未检测到的流量或其在威胁情报输入信息中识别的新威胁来输入信息。
根据 1 级和 2 级 SOC 分析师发现的误报,我们可以通过修改用例来减少 SIEM 平台生成的不良警报。SIEM 管理员或用例工程师还将通过识别半匹配事件、生成的重复警报数和其他标准来研究用例的效率。
在线咨询
