告警分类 AI 自动分析传入的安全告警,并根据威胁指标、资产关键性和历史模式分配优先级评分。这通过将注意力集中在最关键的告警上,减少了分析师的工作负载。
主要功能
- 多因素评分:使用威胁指标、资产关键性、用户上下文和环境因素对告警评分
- 上下文丰富:自动使用威胁情报源、资产清单数据和历史模式进行丰富
- 误报减少:通过历史分析和模式匹配识别和抑制已知的误报
- 自动升级:满足特定条件时,基于规则升级到更高严重等级
- MITRE ATT&CK 映射:自动将告警映射到 MITRE ATT&CK 技术和战术
工作原理
- 告警采集 — 新告警从检测规则、NDR 和连接的安全工具进入分类队列
- 上下文收集 — 代理收集相关上下文:资产关键性、用户行为历史、相关告警和威胁情报
- 严重等级评估 — 多因素分析产生优先级评分和建议的严重等级
- 丰富 — 告警通过 IOC 查询、MITRE 映射和类似历史告警进行丰富
- 路由 — 高优先级告警立即呈现;低优先级告警批量处理等待审查
评分因素
| 因素 | 权重 | 描述 |
|---|
| 威胁情报匹配 | 高 | 与已知威胁数据库的 IOC 匹配 |
| 资产关键性 | 高 | 受影响资产的业务重要性 |
| 历史模式 | 中 | 与之前确认威胁的相似度 |
| 用户行为 | 中 | 偏离正常用户模式的程度 |
| 环境上下文 | 低 | 时间、网络位置、同行活动 |
服务等级能力
| 能力 | FREE | MDR | PRO | CUSTOM |
|---|
| 自动化分类 | 是 | 是 | 是 | 是 |
| AI 驱动分析 | 基础评分 | 完整上下文 | 完整 + 自定义模型 | 完全可定制 |
| 自定义分类规则 | 否 | 否 | 是 | 是 |
| 历史分析深度 | 7 天 | 90 天 | 180 天 | 365+ 天 |
