本帖最后由 杨童 于 2024-6-25 20:57 编辑
态势感知告警优化工作种经常会用到告警加白,通过加白后避免误报再显示到告警中,降低告警噪声,提升日常运维效率
加白中最关键的就是匹配条件的编写,其中五元组,告警ID,URL等配置基本没难度,正则表达式算是一个学习成本较高,使用门槛较高的功能
本文核心思想就是提供一定思路提升正则表达式编写效率 本案例并不适用所有场景,只是提供一种思路,请结合实际情况自行判断,举一反三
在添加白名单中,payload栏目可以设置通过正则表达式作为匹配条件,更精细化匹配报文特征
设备本身在右侧会提供一个超链接,其中描写了正则表达式的配置指引,但是个人感觉很难看懂,学习成本较高
所谓正则表达式,本质就是通过一定规则筛选正常业务报文中的关键字,来实现加白,要实现通过正则加白,就要解决关键的问题,关键的问题就是抓住问题的关键
写正则最大的问题就是两个 1、怎么筛选关键字 2、怎么写正则来匹配这些关键字
两个问题一个答案:GPT
举个栗子,如下图是一个反序列化攻击的告警,匹配规则库的原因是因为在请求头部的cookie中,存在大量不规则的字符,接近反序列化攻击的特征,但实际是业务本身代码问题
和GPT沟通方式,可以直接把请求头部复制出来,询问GPT,怎么写正则可以匹配到对应请求头部,GPT会给出写好的表达式 测试确认此表达式可用
|