行为分析之特定条件告警

请叫我卷福 2024-01-31 17:04:55

课时名称	课时知识点
行为分析之特定条件告警	介绍条件（属性）判断过程，比如是否佩戴口罩、目标是否为男性、目标是否为烟火。

...全文

47 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

政企单位也越来越重视自身安全能力的“建设“,为了提升自身「感知攻击威胁」的能力，会根据「需求」部署各种各样的安全设备资产在内部。从而导致需要分析处置的告警日志剧增，如果按照中小规模的政企单位来算的话，单日安全设备所产生的告警日志量就有可能达到十几万，遇到特殊时期告警日志量甚至高达百万，而其中真正关键的却可能只有几十条甚至更少。本文从安全研究人员处理海量告警的角度出发，提出了告警优化的方式，目的是减少告警的数量，并且能够让安全研究人员更快的找到有效的告警，减低人工成本并提升发现高级威胁的能力。

告警能力在Prometheus的架构中被划分成两个独立的部分。如下所示，通过在Prometheus中定义AlertRule（告警规则），Prometheus会周期性的对告警规则进行计算，如果满足告警触发条件就会向Alertmanager发送告警信息。Prometheus告警处理告警名称：用户需要为告警规则命名，当然对于命名而言，需要能够直接表达出该告警的主要内容告警规则：告警规则实际上主要由PromQL进行定义，其实际意义是当表达式（PromQL）查询结果持续多长时间（During）后出发告警。

Loki是一个用于日志聚合和存储的系统。与传统的日志存储系统相比，Loki采用了一种高效的存储和索引方法，可以充分利用现代存储技术和硬件，以提供更高的性能和可扩展性。Loki支持使用标准的日志查询语言PromQL来查询和分析日志数据，并且与Cortex集成，可以实现和指标数据的混合查询和分析。通过勾选此选项，并设置相应的重复间隔时间，可以覆盖全局设置，使特定的告警规则使用不同的重复间隔时间。这样做的好处是，可以根据特定的告警规则的需求，灵活地定义重复间隔时间，以更加精确和准确地监控和警告系统的状态变化。

由于可观测性需求的深入及实施，带来了大量的告警需要进行处理，原有的统一事件管理平台仅完成了对告警的收集、告警标准化、丰富和通知等能力。当前客户面临的最大问题是：告警不能进一步收敛，缺乏运维专家的经验可以将同一问题引发的多个告警进行有效的关联，进而进一步降低告警的处理量。

Elastalert是Yelp公司基于python开发的ELK日志告警插件，Elastalert通过查询Elasticsearch中的记录与定于的告警规则进行对比，判断是否满足告警条件。发生匹配时，将为该告警触发一个或多个告警动作。告警规则由Elastalert的rules定义，每个规则定义一个查询。1.1 ElastAlert 工作原理周期性的查询Elastsearch并且将数据传递给规则类型，规则类型定义了需要查询哪些数据。

周智的课程社区_NO_1

2

社区成员

49

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章