安全運營中心減少誤報的方式？

安全運營中心減少誤報的方式包括：

• 主動出擊

  將你的威脅管理方式變得積極主動，如果你所做的就是等待警報響起和警報消失，那么你的時間都會花在誤報的處理上而不是發現真正的威脅。主動發現威脅，這是檢測最新網絡威脅唯一經過驗證的方法。

• 目標優先

  評估你所在企業的風險與安全需求，然后再將報警技術應用于最高風險威脅事件。重點關注你的最終目標，也就是和你計劃檢測最相關的威脅類型，這會大大降低誤報率。

• 高風險警報優先

  優先化是SOC減少因誤報而造成時間浪費最好的工具之一。可靠性最高并帶有檢測高風險事件的報警無疑應該被列為優先處理項。利用這種方法分析人員就可以根據優先級分別處理，確保首先解決風險最高的事件。

• 協同處理（利用相關性）

  很多情況下，一個事件可能不足以引起重視，除非它與其它利益事件一起被觀察到。出現這樣的情況時，你應該使用一套定義清晰的相關性規則，若各個事件滿足所有相關性標準，那么只發送一條警報至分析師的處理安排表中。

• 保持更新

  復查以前的警報，不斷吸取教訓，更好地制定報警規則。警報復查能夠讓你明白如何調整、改善現有規則。如今的網絡威脅十分復雜，降低誤報率需要智能化、有針對性的警報邏輯來提取重要事件。因此持續調整這種邏輯非常重要。

回答所涉及的環境：聯想天逸510S、Windows 10。