安全运营之浅谈SIEM的告警疲劳

**聊天：**

刚开始学习SIEM、态势感知等产品时，看老外的文章，总是讲真阳性、误报、警报疲劳。当时我在国内的资料中找不到非常合理的解释，也就渐渐忘记了。随着工作的慢慢深入，我感觉自己大致理解了这些概念，也有了一些新的感悟。我写这篇文章的目的是为了教育刚接触SIEM 产品的新学生。希望您看完本文后，不再对所谓的“误报”感到困惑，从而缓解您的报警疲劳。

## SIEM介绍：

既然我们要讲SIEM警报疲劳，那么我就简单介绍一下SIEM。

### 概述:

SIEM（**S** 安全**I** 信息和**E** 通风**M** 管理）、安全信息和事件管理。

我们先简单说一下其他概念。

SIM（**S** security **I** information **E** vent **M** anagement）：安全信息管理，也称为日志管理，用于日志的长期存储、日志分析、报表输出。

SEM（**S** security **E** vent **M** anagement）：安全事件管理，用于事件关联、报警监控和通知管理。

其实也不难理解。事实上，**SIEM**=**SIM** + **SEM**，即SIEM产品集成了两者的功能：产品用于收集日志数据并长期存储，对收集的数据进行标准化，并通过日志搜索、关联报警、可视化图表、报告输出、报警通知等功能提供监控、调查、分析和响应安全事件的能力。

## 警报疲劳：

鉴于SIEM强大的数据采集和存储、标准化能力、关联分析等能力，分析师将各种数据源日志接入SIEM，包括防火墙、行为管理、终端防病毒、IDS/IPS、WAF、VPN、堡垒主机、3A、NDR、EDR、应用数据等。

当一个企业（默认是大企业，如果是小企业，相信你不会使用SIEM之类的产品）在建设安全基础设施时，安装的安全设备数量会很大，报警数量也会增加一倍。而且，由于MLA合规等要求，实际设备类型可能足够多，报警类型覆盖范围也会更广。当两者碰撞时，会引起大规模警报。

理论上，分析师不应该害怕实际海量的警报，因为SIEM本身就有**标准化**和**关联**的能力。理想情况下，不应有太多警报。但从目前的工作来看，理想终究是理想，目前的现状仍然是有效报警淹没在海量无效报警中。

### 报警疲劳的表面现象：

简单总结一下：**有效告警（值得分析的告警）淹没在大量无效告警（“误报”或不值得分析的告警）中，导致分析人员无法做好工作，降低分析效率，造成告警疲劳。**

经常出现的现象如下：

——上级监管部门通报了XXX警报。我们的安全设备捕获了这次攻击，但SIEM 的“误报”太大，我们还没有分析该警报。

- 当该安全设备本身不发送到SIEM时，经过长期优化，该设备的警报足够准确，并且“误报”数量足够小。为什么该设备连接SIEM后，警报比之前多了很多？

- 由于现象1和2，间接的说不如直接监控安全设备，但是为了推动SIEM建设，就不得不使用SIEM，导致死循环。

### **误报：**

既然我们谈论警报疲劳，我们也必须谈论误报。这里细心的同学可能注意到了，我在上面的“误报”处加了引号。

这里我谈谈我对工作中误报本质的看法。

个人观点： **“误报”其实是甲方和乙方对攻击的理解不同。 **

目前的安全设备规则库中很少有写得粗糙、逻辑错误的误报。例如：简单地匹配一个选择就会提醒您SQL 注入。这种现象现在已经很少见了。如果它仍然存在，您应该升级您的安全设备的规则库，或者您应该考虑您购买的安全设备。

至于为什么说两方认知不同，这里举个例子：

有一天，作为一名分析师，您收到一条通知，指出NDR 未向a.php 发出警报。经过您的分析，这次攻击没有有效载荷，没有成功。这只是一次扫描尝试。

问题来了。甲方认为这是一次漏报的攻击，设备有问题。当你与厂家沟通时，厂家的回复是：这是爬虫行为或者是扫描尝试。该行为不具有攻击特征，不应引起报警。由于该行为没有明显的攻击特征，当有明显的payload或代码执行特征时，NDR肯定会有代码执行或webshell警报。这种简单的爬行或尝试行为不应该引起您的注意。如果所有这些警报都发出警报，将导致大量警报。而且，发出这些没有分析意义的扫描警报并交给分析人员判断，是一种不负责任的行为。

这个故事就是我所说的双方对攻击的不同看法。至于谁对谁错，这是见仁见智的问题。至于为什么讲这个故事，我希望更多地思考工作中事情的两个方面。有些所谓的误报真的是误报吗？所以我不太喜欢用“虚惊一场”来概括中国的情况。相比之下，我更喜欢国外的报警分类。并不是因为国外的月亮是圆的，只是这样的分类更加科学。

### SIEM报警分类：

在国外，我个人认为对警报的分类应该基于机器学习中的True Positives（TP，真）、True Negatives（TN，真阴性）、False Positives（FP，假阳性）、False Negatives（FN，假阴性）的方法。

这就是他们常说的：

- **True Positive**，系统检测到真正的攻击，即判断该报警为异常报警。

- **误报**，系统检测到不存在的攻击。即，该警报被判断为误警报。

- **True Negative**，系统未检测到真正的攻击。即判断该报警为正常报警。

- **漏报**，系统无法检测到真正的攻击。即该报警被误判为正常报警。

上面是一个外国概念，但对我来说似乎很混乱。如果我们结合新冠来理解呢？

即：

- **真阳性**：检测到该人感染了新型冠状病毒并且确实被感染，为阳性人员。 （真实的攻击行为。）

- **假阳性**：COVID-19 检测呈阳性但实际上并未感染的人，即假阳性。 （检测为攻击，实际上是误报。）

- **真阴性**：未感染COVID-19，正常人。 （真正意义上的攻击失败，或者业务正常顺利运行，没有任何报警）

- **假阴性**：检测到患者未感染新型冠状病毒，但实际感染、漏检或未检出而感染。 （误报攻击行为，或检测到攻击失败但实际上攻击成功）

理论上，优秀的安全建设经过长期运行，真阳性报警应该是最少的，真阴性报警是大部分的。没有误报，误报也很少。

**国内安全运营的实际现状：**

大量误报，即由于数据采集不完整、没有BAS检测、长期非硬件红蓝对抗、对设备过度信任而漏报的攻击。

大量真实的负面警报，即失败的攻击扫描程序检测、端口扫描、爬虫等。

大量误报，即安全设备检测规则不严或与业务不兼容导致的误报、SIEM开箱即用的规则不兼容导致的报警、一些无效的威胁信息报警等。

大量“良性”真阳性报警，即大量由于某种原因无法纠正的弱口令报警、非法办公软件的远程控制报警、开发人员因偷懒而编写的脚本导致的SSH漏洞等。

少数“恶意”真阳性警报，即真正攻击者的恶意攻击，导致了妥协。

**PS：其实，真阳性警报没有良性和恶性之分。对于攻击者来说，它们都是可以利用的弱点。我这么说只是为了区分。 **

### **SIEM 警报疲劳的根本原因：**

讲完告警的分类和运行现状，我们总结一下告警疲劳的根本原因。

根据工作经验，我们可以总结出以下原因：

- 在没有评估数据源的数据质量的情况下，盲目地将各种设备的日志接入SIEM，导致大量垃圾数据进入内置SIEM规则，导致大量无效报警。

- 安全设备不促进规则优化和升级，导致规则版本较低，或者某些检测逻辑不正确的规则没有优化或关闭。

- SIEM内置的拆箱规则不评估数据源和规则触发条件，导致大量无效报警。

- 运营过程中发现的某些业务问题没有得到推广，也没有对这些告警进行优化或抑制，导致告警数量未能减少。

- SOAR还没有完全发挥它的作用，只是用来封堵IP、离线终端等。其实SOAR还可以处理一些低风险的报警，或者将一些报警升级到威胁级别。

## **疲劳报警的解决方案：**

- 减少误报警报的数量。

- 优化安全设备规则，定期推动规则库升级。对于检测逻辑不正确的规则，反馈给厂家整改或关闭。

- 评估连接到SIEM 的数据源的字段质量，如果提供了具有有效字段的数据，则考虑连接到SIEM。

- 评估SIEM拆箱规则，调整或关闭对站点无效或不适用的规则的阈值和时间窗口。在减少报警次数的同时，还可以减轻发动机的压力。

- 及时更新威胁情报，或考虑构建多源威胁情报。

- 检查SIEM是否收到安全设备上优化过的误报，并排查原因。 （部分安全设备不单独区分白名单日志，发送日志时白名单告警也会一起发出。）

- 抑制“良性”真阳性警报的数量。

- 对一段时间内无法解决的实际问题进行抑制报警。 （一般SIEM工具都有此功能，一般称为报警抑制或报警合并。即在单位时间窗口内，以某一条件为分组条件，只产生一个报警。）

——仍建议积极推动业务整改一些现实问题，如明文传输、弱密码、违规行为等。

- 抑制真阴性警报的数量。

- 对于真正的“攻击失败”，抑制扫描器或爬虫的端口扫描或低风险检测行为。

- 充分利用SOAR。

- 对于真正的“攻击失败”，使用SOAR结案或降低威胁级别，或提高某些“恶性”真阳性警报的威胁级别。

- 最大限度地减少或真正消除误报。

- 可以进行BAS检测或红蓝对抗，并将攻击方式审核成规则。

##总结：

SIEM 中的警报疲劳是业界的一个问题。警报疲劳会对分析人员的分析效率产生巨大影响，有效警报会被淹没在无效警报中。也会防止安全问题暴露出来，影响企业的安全。

如果你也面临文章中提到的问题，可以参考文章中的观点，或者用发散思维提供更好的解决方案来分享。共同努力，共同进步！

PS：非常感谢您看到这里。以上均为个人意见。欢迎大家一起交流讨论，）转载自freebuf：[https://www.freebuf.com/articles/es/388406.html](https://www.freebuf.com/articles/es/388406.html)作者：坐在地上的驴