检测内容生命周期
概述
KYRA MDR 维护 3,200+ 条检测规则,持续监控您的环境以发现威胁。本页说明检测内容的开发、测试、部署和退役方式 — 让您了解新威胁的覆盖方式以及现有规则的维护方式。
什么是检测内容?
检测内容包括:
- 检测规则 — 分析传入事件并生成告警的实时规则(基于 Sigma 格式)
- 威胁狩猎查询 — 威胁狩猎 AI 用于发现隐藏威胁的主动搜索查询
- ML 模型 — 用于行为异常检测和误报过滤的机器学习模型
生命周期状态
每条检测规则经过定义的生命周期:
flowchart LR
DEV[开发] --> TEST[测试]
TEST --> STG[预发布]
STG --> PROD[生产]
PROD --> DEP[弃用]
DEP --> RET[退役]
1. 开发
检测工程师基于以下内容创建新规则:
- 新出现的威胁情报和新 CVE
- MITRE ATT&CK 技术覆盖缺口
- 客户报告的威胁和未遂事件
- 威胁态势变化
每条规则包含 MITRE ATT&CK 映射、严重等级分类和测试用例。
2. 测试
在预发布环境中使用历史数据验证规则:
- 对 30 天数据集运行以测量误报率
- 评估性能影响(检测延迟必须保持在 5 秒以下)
- 严重/高严重等级规则误报率必须低于 5%,中/低严重等级低于 10%
3. 预发布
规则部署到预发布环境进行最终验证:
- SOC 分析师审查告警质量和丰富度
- PRO 和 CUSTOM 等级客户可在生产部署前预览新规则
- 创建或更新响应 Playbook 以匹配新规则
4. 生产
生产中的活跃规则持续监控:
- 告警量趋势和误报率跟踪
- 性能指标(处理延迟、资源使用)
- 客户反馈纳入调优
生产规则 SLA:
| 指标 | 目标 |
|---|---|
| 告警处理时间 | 5 分钟以内 |
| 误报响应 | 4 小时以内 |
| 规则修改(调优) | 24 小时以内 |
| 严重问题解决 | 2 小时以内 |
5. 弃用
以下情况规则被弃用:
- 更好的检测规则替代了它
- 误报率超过 15% 且无法降低
- 威胁技术不再相关
客户在规则弃用前 60 天收到提前通知,以及替代规则的信息。
6. 退役
退役规则被停用。退役规则生成的历史告警在您的数据保留窗口内仍然可访问。
严重等级
每条检测规则被分配一个严重等级,决定告警优先级和响应 SLA:
| 严重等级 | 描述 | 示例 |
|---|---|---|
| 严重 | 确认的需要立即响应的活跃威胁 | 勒索软件执行、活跃数据泄露 |
| 高 | 需要紧急调查的强烈入侵指标 | 横向移动、C2 通信 |
| 中 | 可能表示威胁的可疑活动 | 异常认证模式、策略违规 |
| 低 | 可能需要审查的信息性活动 | 配置变更、新设备连接 |
| 信息 | 用于上下文和关联的基线事件 | 成功登录、常规系统事件 |
告警生成方式
- 事件采集 — 日志从连接的数据源到达(防火墙、EDR、云等)
- 规则评估 — 事件实时与所有活跃检测规则进行评估
- AI 分类 — 告警分类 AI 用上下文丰富匹配项、评分严重等级并过滤误报
- 告警创建 — 确认的匹配项创建告警,包含 MITRE ATT&CK 映射、受影响资产和建议操作
- 通知 — 告警在控制台中显示,并通过配置的渠道发送(邮件、Slack、Webhook)
AI 辅助检测
平台使用 AI 持续改进检测质量:
- 误报模式检测 — 识别系统性误报原因并建议调优
- 优化建议 — AI 生成的规则改进建议
- 自然语言解释 — 为分析师提供检测逻辑的通俗描述
紧急规则部署
对于严重的零日威胁,KYRA MDR 可在数小时内快速将新检测规则投入生产。紧急规则经过加速测试,并在部署后 24 小时内进行强制审查。