为什么不能只关注高可信度？因为误报与漏报是相对的。

高可信度 ≠ 100%准确： 高可信度告警是系统根据规则、模型和上下文判断为极有可能是真实威胁的事件。但它们仍有可能是误报（False Positive），例如由特定业务行为触发的。
低/一般可信度 ≠ 无风险： 低或一般可信度告警可能是系统证据不足、特征不明显或处于攻击链早期阶段的事件。一个成功的复杂攻击（如APT）往往始于一系列看似可疑但证据不足的“低可信度”活动（如侦察、横向移动尝试）。如果忽视这些早期信号，就可能错过阻止整个攻击链的最佳时机。
攻击者的策略： 高级攻击者会刻意使用低频、慢速、模仿正常行为的攻击方式来规避检测，这类活动很可能被系统标记为“低”或“一般”可信度。只关注高可信度，就等于给这类“低慢小”攻击开了绿灯。
信息关联的价值： 单个“低可信度”事件可能意义不大，但如果多个“低可信度”事件发生在同一主机、同一时间段或形成某种模式（例如，多次失败的登录尝试、非常规端口的连接），它们的组合就可能构成一个高风险场景。TSS系统本身可能通过关联分析提升其最终可信度，但人工分析时也需要考虑这种聚合效应。

在TSS（威胁检测与响应系统，如深信服的TDR或其他类似系统）输出的报告中，虽然“高可信度”告警通常代表最需要立即关注的威胁，但用户不应只关注高可信度告警而完全忽略“一般”和“低”可信度的告警。

高可信度 (High Confidence)：

含义：系统非常有把握这是一个真实威胁。通常有非常明确的证据支持，例如漏洞利用攻击成功、确凿的恶意软件行为、已知的C2域名通信等。

处理方式：最高优先级，立即响应。需要安全工程师立刻进行遏制、清除和恢复操作，并启动事件应急响应流程。

一般可信度 (Medium Confidence)：

含义：系统检测到可疑行为，但证据不如高可信度那么确凿，可能存在误报的可能。例如，不常见的PowerShell命令、访问了可疑但未明确的URL、与灰度基础设施的通信等。

处理方式：重点调查和分析。这是安全运营团队日常工作的核心。需要分析师结合其他日志（如终端日志、网络流量日志、身份认证日志）进行人工研判，以确定它是误报还是需要升级的真实威胁。这是发现潜在威胁和培养分析师能力的关键环节。

低可信度 (Low Confidence)：

含义：检测到的行为非常轻微可疑，或者与正常行为界限模糊，误报率很高。例如，单次的登录失败、一次到陌生IP的连接等。

处理方式：不应忽略，而应进行聚合与关联分析。单个低可信度事件通常不需要立即行动，但安全团队应该：

趋势观察：查看同一源IP或用户是否在短时间内产生了大量低可信度告警，从而形成一种模式。

关联分析：在SIEM或SOAR平台上，将这些低可信度事件与其他事件进行关联。如果多个低可信度事件指向同一个目标，其整体风险就会骤升。

降低误报：通过调查低可信度告警，可以更好地调整TSS的检测策略，使其更贴合本公司的业务环境，从而未来产生更精准的告警。

直接回答：不是，用户绝对不能只关注高可信度告警。

这样做会带来巨大的安全风险，相当于只处理了“明火”，而忽略了可能正在闷烧、即将酿成大火的所有“隐患”。

为什么不能只关注“高可信度”？
攻击链的完整性：一次完整的网络攻击（杀伤链）包含多个阶段，如侦查、武器化、投递、利用、安装、命令与控制、目标行动。高可信度告警可能只出现在“利用”或“安装”等破坏性明显的阶段。而低可信度的告警（如一次异常的DNS查询、一个来自陌生地域的登录尝试）可能是攻击早期阶段的信号。只关注高可信度，意味着你总是在攻击的最后阶段才做出响应，为时已晚。

规避技术的运用：高级持续性威胁（APT）攻击者会刻意使用各种技术来规避检测，他们的工具和行为会伪装成正常流量，从而降低安全系统给出的可信度评分。这些“低可信度”信号往往是发现高级威胁的唯一线索。

“漏报”比“误报”更危险：在安全领域，放过一个真正的威胁（漏报）的代价，通常远大于花时间调查一个最终被证明是良性的警报（误报）。只关注高可信度，会极大地增加漏报的风险。

上下文的重要性：一个孤立的“低可信度”告警可能无关紧要，但如果它和另外几个“一般可信度”的告警关联在一起（例如，同一个源IP先进行了端口扫描（低可信度），又尝试了暴力破解（一般可信度），最后成功登录并执行了可疑命令（高可信度）），那么整个事件的可信度和严重性就变得非常高了。只盯着高可信度，你就失去了这种全局视角。