10、安全监控剧本：从构建到实战应用

安全监控剧本：从构建到实战应用

1. 剧本报告的基本情况

在安全监控的剧本中，大部分报告并非高保真度的。仅有约 15% 的报告属于高保真度，但这些报告却构成了我们检测到的典型恶意软件感染的大部分（90%）。那些不能 100% 确定事件为恶意的报告被视为“调查性”报告。对于这些事件，需要进行更多调查，以确定是否真的存在安全事件，或者是否是一个可能可调整的误报。调查可能会得出真阳性、误报、无定论的结果，或者可能会产生额外的调查性报告，以进一步完善调查。如果我们能够自信地排除所有非事件，经过调整和分析成熟的调查性报告最终可能会成为高保真度报告。

1.1 报告标识相关要素

• 事件源 ：事件源标识报告查询的来源。报告 ID 的首位数字始终与事件源相关联。
• 报告类别 ：我们开发了适用于已实现的报告类型的报告类别，具体如下表所示：
  | 类别 | 描述 |
  | — | — |
  | TREND | 随时间推移的恶意或可疑活动指标，以及正常警报模式和流量的异常值 |
  | TARGET | 针对逻辑上独立的网络组和/或员工群体（例如，外部网合作伙伴、贵宾、业务部门） |
  | MALWARE | 系统或网络上的恶意活动或恶意活动指标 |
  | SUSPECT_EVENT | 需要额外调查和分析的恶意或可疑活动指标 |
  | HOT_THREAT | 为检测新的、广泛传播的或潜在破坏性活动而以更高频率和优先级临时运行的报告 |
  | POLICY | 检测需要计算机安全事件响应团队（CSIRT）响应的政策违规行为（如