数万条告警怎么快速找到攻击成功的告警

优先过滤掉无效告警和误报告警，从而大幅降低分析成本

• 无效告警的判断：无效告警通常是由于攻击者对非活跃或不存在的资产进行扫描而产生的。例如，攻击者对某个 C 段进行批量扫描，尽管安全设备产生了告警，但如果被扫描的 IP 根本没有运行任何服务，那么这个告警就是无效的
• 误报告警的判断：误报告警通常是由于安全设备的特征规则被非攻击行为意外触发。我们可以通过以下方式来判断：
  • 流量分析：分析流量数据包，看它是否符合正常的业务操作
  • HTTP状态码与页面回显：检查告警中 URL 的 HTTP 状态码。如果状态码是 404（未找到），或者页面回显数据是通用错误信息，那么这很可能是一次未成功的攻击尝试，可以作为误报的判断条件