很多組織的網(wǎng)絡(luò)安全運(yùn)營工作正在陷入一種“怪圈”：收集一切數(shù)據(jù)，卻一無所獲，但是還要不斷為此投入更多的人力和資金。而這種怪相的背后，實(shí)際上是一種“無差別數(shù)據(jù)收集和囤積”的錯(cuò)誤運(yùn)營理念。

隨著現(xiàn)代企業(yè)安全防護(hù)措施的不斷完善，很多安全運(yùn)營團(tuán)隊(duì)所面臨的困境并非數(shù)據(jù)不足，而是 “錯(cuò)誤數(shù)據(jù)過剩”所導(dǎo)致的運(yùn)營成本上升、檢測能力下降和安全運(yùn)營團(tuán)隊(duì)過勞等。在此背景下，定期開展數(shù)據(jù)“大掃除”成為了很多企業(yè)安全運(yùn)營工作中的一項(xiàng)核心策略。

保持安全運(yùn)營數(shù)據(jù)衛(wèi)生的必要性

在AI技術(shù)快速發(fā)展的智能化時(shí)代，數(shù)據(jù)驅(qū)動已然成為網(wǎng)絡(luò)安全技術(shù)創(chuàng)新至關(guān)重要的 “武器”，特別是對于網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)而言，AI模式下的體系化風(fēng)險(xiǎn)分析能夠?yàn)榻档推髽I(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)提供可行的建議，但這一切的前提是擁有強(qiáng)大而可用的數(shù)據(jù)基礎(chǔ)。

多年來缺乏有效管理的數(shù)據(jù)增長，會讓企業(yè)安全運(yùn)營的數(shù)據(jù)環(huán)境變得臃腫、低效且成本高昂。如果不能定期進(jìn)行清理優(yōu)化，組織的安全運(yùn)營中心將會淹沒在來自網(wǎng)絡(luò)、終端、云以及其他不斷新增來源的日志和監(jiān)測數(shù)據(jù)中。 

實(shí)際上，這些數(shù)據(jù)中的大部分都是冗余、無關(guān)甚至是純粹的噪音，而低價(jià)值監(jiān)測數(shù)據(jù)的大量存留會直接影響到安全威脅檢測的準(zhǔn)確性、效率，并降低運(yùn)營團(tuán)隊(duì)獲取組織真實(shí)安全風(fēng)險(xiǎn)態(tài)勢的能力。最糟糕的是，雜亂的安全運(yùn)營數(shù)據(jù)意味著分析師花費(fèi)在篩選垃圾數(shù)據(jù)上的時(shí)間遠(yuǎn)超過應(yīng)對實(shí)際攻擊事件。 

因此，組織不能繼續(xù)將安全數(shù)據(jù)管理視為 “收集一切”的問題，必須摒棄 “無差別數(shù)據(jù)囤積” 的過時(shí)理念，優(yōu)先聚焦于數(shù)據(jù)的精選、情境化和價(jià)值效率，僅在必要時(shí)傳遞關(guān)鍵信息，并最大程度豐富數(shù)據(jù)內(nèi)涵，并將其存儲于最合理的位置，這樣不僅可以在成本節(jié)約方面占據(jù)優(yōu)勢，也有利于實(shí)現(xiàn)更快、更有效的安全運(yùn)營工作。

安全運(yùn)營數(shù)據(jù)“大掃除”的5點(diǎn)建議

定期開展安全運(yùn)營數(shù)據(jù)“大掃除”的核心目標(biāo)就是要確保安全團(tuán)隊(duì)能夠在不被無關(guān)監(jiān)測數(shù)據(jù)淹沒的前提下，高效檢測真實(shí)的安全威脅，它必須成為安全運(yùn)營工作中一項(xiàng)可行且有效的核心策略。為了實(shí)現(xiàn)這一目標(biāo)，組織可以參考以下步驟對現(xiàn)有的海量安全運(yùn)營數(shù)據(jù)進(jìn)行清理和優(yōu)化：

用AI替代人工的數(shù)據(jù)采集規(guī)則配置

傳統(tǒng)的安全運(yùn)營工作中，需要持續(xù)不斷的進(jìn)行數(shù)據(jù)采集規(guī)則調(diào)整，這成為安全運(yùn)營團(tuán)隊(duì)的巨大工作負(fù)擔(dān)，而且還會因任務(wù)蔓延導(dǎo)致數(shù)據(jù)采集方向出現(xiàn)偏離。隨著安全運(yùn)營技術(shù)的發(fā)展，運(yùn)營團(tuán)隊(duì)可以借助多種新一代技術(shù)，包括機(jī)器學(xué)習(xí)、向量分析、知識圖譜和大語言模型（LLMs）等，來實(shí)現(xiàn)運(yùn)營數(shù)據(jù)轉(zhuǎn)換和優(yōu)先級排序的自動化流程。

現(xiàn)代安全運(yùn)營需要更動態(tài)、更具適應(yīng)性的數(shù)據(jù)處理工作流，因?yàn)榘踩\(yùn)營數(shù)據(jù)并非靜態(tài)的，所以其采集規(guī)則也不應(yīng)僵化。人工智能驅(qū)動的方法可分析跨數(shù)據(jù)集的模式，而非依賴針對單個(gè)警報(bào)的脆弱手動規(guī)則。

將安全數(shù)據(jù)分層采集和存儲

在很多企業(yè)的安全運(yùn)營考核體系中，仍然將數(shù)據(jù)采集數(shù)量設(shè)為重要的考核指標(biāo)，而非依據(jù)數(shù)據(jù)的內(nèi)在安全價(jià)值。這一考核機(jī)制鼓勵(lì)過度收集，迫使安全團(tuán)隊(duì)將精力和預(yù)算浪費(fèi)在很多對實(shí)際威脅檢測毫無貢獻(xiàn)的冗余日志上。安全運(yùn)營團(tuán)隊(duì)不應(yīng)為從未生成警報(bào)或價(jià)值的原始日志浪費(fèi)資源，更科學(xué)的數(shù)據(jù)采集要求包括：

• 采用分層存儲策略：將高保真日志盡可能保留在實(shí)時(shí)分析層，同時(shí)將批量監(jiān)測數(shù)據(jù)歸檔至一些成本效益更高的對象存儲設(shè)施中；
• 將非關(guān)鍵數(shù)據(jù)卸載到安全數(shù)據(jù)湖：支持回溯分析，避免產(chǎn)生實(shí)時(shí)性的數(shù)據(jù)采集成本。
• 在數(shù)據(jù)采集前對不同設(shè)備的運(yùn)營日志進(jìn)行去重和預(yù)處理：減少數(shù)據(jù)采集和存儲過程中的資源浪費(fèi)，同時(shí)保留分析深度。

優(yōu)先采集高保真數(shù)據(jù)，構(gòu)建自動化分析能力

對于安全運(yùn)營工作，如何獲取“更好的數(shù)據(jù)”是關(guān)鍵。盡管安全數(shù)據(jù)本身并無絕對的好壞之分，但關(guān)鍵在于如何從中有效提取出有價(jià)值的威脅洞察。

長期以來，很多網(wǎng)絡(luò)安全廠商推崇 “收集一切” 的產(chǎn)品策略，但這導(dǎo)致安全數(shù)據(jù)的邊際效益遞減，難以實(shí)現(xiàn) “去粗取精”。存儲的無關(guān)日志越多，從噪音中識別有意義信號的難度就越大。而問題的核心并非數(shù)據(jù)過多，而是缺乏能實(shí)時(shí)提取正確數(shù)據(jù)的自動化大規(guī)模分析能力。

目前，有很多創(chuàng)新的數(shù)據(jù)密集型提取方式能顯著提升采集效率并拓展數(shù)據(jù)的用例，這些方法也為安全日志的價(jià)值挖掘創(chuàng)造了機(jī)會：

• 安全運(yùn)營團(tuán)隊(duì)不應(yīng)將日志視為孤立事件，而應(yīng)結(jié)合上下文并采用規(guī)模化分析技術(shù)；
• 不應(yīng)依賴預(yù)定義的關(guān)聯(lián)規(guī)則，而應(yīng)動態(tài)挖掘安全數(shù)據(jù)，識別跨大規(guī)模數(shù)據(jù)集的趨勢；
• 安全監(jiān)測數(shù)據(jù)在進(jìn)入下游工具和分析流程前，應(yīng)經(jīng)過預(yù)處理、豐富數(shù)據(jù)和優(yōu)先級排序，形成高保真的有效數(shù)據(jù)，而非將原始數(shù)據(jù)全部提供給SIEM系統(tǒng)。

通過可解釋性與本體模型實(shí)現(xiàn)上下文關(guān)聯(lián)清理

缺乏上下文的安全警報(bào)會拖慢安全團(tuán)隊(duì)的威脅響應(yīng)速度。每一次檢測都需回答三個(gè)關(guān)鍵問題：這是真實(shí)威脅嗎？它有多重要？下一步怎么做？

若沒有自動化的數(shù)據(jù)關(guān)聯(lián)和豐富機(jī)制，分析師只能手動翻查原始日志，拼湊碎片化信息。通過將安全數(shù)據(jù)映射到基于本體的模型（如 MITRE ATT&CK 框架），或疊加外部威脅、內(nèi)部用戶與資產(chǎn)上下文，運(yùn)營團(tuán)隊(duì)無需額外人工投入即可獲得更深入的調(diào)查背景。更關(guān)鍵的是，隨著安全運(yùn)營逐步走向自動化，上下文豐富機(jī)制還能為基于邏輯或 AI 代理的自動化決策提供支持。

在開展網(wǎng)絡(luò)安全運(yùn)營數(shù)據(jù)清理時(shí)，實(shí)現(xiàn)上下文的關(guān)聯(lián)處理至關(guān)重要，因?yàn)榘踩珨?shù)據(jù)的核心價(jià)值就是體現(xiàn)在其能否幫助分析師和檢測工具更快做出更優(yōu)的決策。

不再“自建”安全數(shù)據(jù)管理體系

多年來，安全團(tuán)隊(duì)無奈只能復(fù)用日志管理工具、自定義腳本和 “自建” 方案來理解和利用所采集到的各種安全監(jiān)測數(shù)據(jù)。但如今，一些專為安全數(shù)據(jù)工程設(shè)計(jì)的專業(yè)工具正在崛起：

• 安全監(jiān)測數(shù)據(jù)管道可在日志信息進(jìn)入 SIEM 或 XDR工具前完成清洗、豐富和路由優(yōu)化；
• 安全數(shù)據(jù)湖中常見的 “讀時(shí)模式”（Schema-on-Read）架構(gòu)使安全團(tuán)隊(duì)能夠按需分析數(shù)據(jù)，而非在攝入前預(yù)先過濾所有內(nèi)容；
• “無 SOC”（SOCless）模式正在開創(chuàng)無需依賴單體 SIEM 部署的威脅檢測與響應(yīng)新路徑。

通過這些新一代的工具，安全團(tuán)隊(duì)無需再與工具進(jìn)行“搏斗”。安全運(yùn)營數(shù)據(jù)利用的關(guān)鍵在于優(yōu)先考慮效率、數(shù)據(jù)豐富性和實(shí)時(shí)分析，避免傳統(tǒng)數(shù)據(jù)復(fù)用模式所帶來的隱性成本。

參考鏈接：https://www.helpnetsecurity.com/2025/03/25/security-data-hygiene/