【技术实现步骤摘要】
本专利技术涉及安全,尤其涉及一种告警分组方法及装置。
技术介绍
1、端点检测与响应(endpoint detection and response,edr)在终端上实时采集各类安全日志,例如采集正在运行的进程的安全日志、网络活动的安全日志等,再使用内置的失陷指标(indicators of compromise,ioc)规则或者攻击指示器(indicators ofattack,ioa)规则等技术检测安全日志是否存在潜在的威胁,在存在潜在的威胁时,产生告警。但edr内置的ioc规则或ioa规则的条件通常比较宽松,从而导致会产生大量的告警,为了提高安全运营人员对告警的分析效率,通常将相似告警分为一组,这样,安全运营人员只需对同一分组内的一个告警进行分析即可。
2、相关技术中,通常是从告警中获取进程的多个属性,只要告警中有相同属性,就将具有相同属性的告警划分至一组。
3、但上述在分组时,只考虑了进程实体的属性,存在将不相关的告警划分至同一组的情况,从而降低了告警分组的准确性。
技术实现思路
【技术保护点】
1.一种告警分组方法,其特征在于,包括:
2.根据权利要求1所述的告警分组方法,其特征在于,所述基于所述规则标识、所述实体和所述实体关系,对所述待分组告警进行分组,包括:
3.根据权利要求2所述的告警分组方法,其特征在于,所述分组还包括所述特征信息和告警类型的对应关系;
4.根据权利要求3所述的告警分组方法,其特征在于,所述方法还包括:
5.根据权利要求3所述的告警分组方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的告警分组方法,其特征在于,所述方法还包括:
7.根据权利要求3所述的告...
【技术特征摘要】
1.一种告警分组方法,其特征在于,包括:
2.根据权利要求1所述的告警分组方法,其特征在于,所述基于所述规则标识、所述实体和所述实体关系,对所述待分组告警进行分组,包括:
3.根据权利要求2所述的告警分组方法,其特征在于,所述分组还包括所述特征信息和告警类型的对应关系;
4.根据权利要求3所述的告警分组方法,其特征在于,所述方法还包括:
5.根据权利要求3所述的告警分组方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的告警分组方法,其特征在于,所述方法还包括:
7.根据权利要求3所述的告警分组方法,其特征在于,所述方法还包括:
8.根据权利要求2-...
【专利技术属性】
技术研发人员:张彦功,舒鹏,贾晨晖,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。