告警信息处理架构
2021-05-19 04:32:39 0 举报
面对海量信息,对告警集中收集、聚合并进行关联分析挖掘攻击意图
作者其他创作
大纲/内容
就IDS来说,可以将同一入侵事件的告警进行聚类,来溯源
自动化响应措施
告警日志信息采集与告警
告警:在监控的基础上,对行为、日志预先设置规则或者一些值,满足条件后对运维人员发送告警信息,一般会有个告警等级的初步分类,但还不够;另外的话在IDS如果有相应的入侵行为也会产生告警信息
分析
关键字:1.告警信息收集2.告警信息存储3.日志分析,筛选4.自动化响应措施5.入侵响应系统
目的还是为了筛选重要告警信息,提高效率
日志聚合
告警日志统一存储
对去重后的告警设置规则进行压缩
告警聚类
故障期间,告警风暴,手机/邮箱会被海量告警淹没;运维人员很难从海量告警从筛选出重要告警,容易忽略重要告警;固定阈值控制,频繁误报、漏报告警;
Nginx、Waf、操作系统日志、在accesslog中包含了正常用户和异常用户的请求,预设规则和阈值会产生告警日志
在多种监控工具已经waf等产品作用下在监测告警会发出成百上千个告警。关键问题是,在这些告警触发之前,只有少量团队会做一些有关聚合与过滤的事情。那么由此会产生什么后果呢?冗杂且繁复的告警信息,会加重运维团队每位成员的负担,使运维人员经常处于精疲力尽的状态中。
告警推送到达前:去重
0 条评论
下一页