找出配置安全分析的最佳方式，为你的公司产出有意义且具可行性的洞见。

　　作为IT最新流行词，“分析”正逐渐渗入IT系统各组件。从用例中收集到关于数据、网络和用户行为的分析，我们对此信息有着无穷的利用可能。但是，说到钻研这些数据以得出安全决策，这种可能包含陷阱的巨量信息，真的那么有用吗？为避免掉进分析陷阱，安全专业人士提供了找出最佳安全分析配置方式，以产出有意义且具可行性洞见的建议。

　　1. 塑造环境，增加“真警报”检测率

　　Armor首席安全官杰夫·希林说：“我是‘少数据分析’的支持者。我这么说的意思是，你应该塑造你的环境，只去查看那些最有可能是真警报的事件。在已知威胁触及你的安全栈之前就将之挡在门外。要做到这一点，你可以利用IP信誉管理，或者DNS监测/封锁。这将挡住对你公司80%的非针对性攻击。”

　　2. 调整安全事件管理(SIEM)功能

　　很多安全团队在处理成千上万条被自家SIEM认为是高危的事件时举步维艰，这些所谓的‘高危事件’其实是误报，或者不过是告诉你安全措施正在起效的通知而已(比如：防火墙规则触发)。这或许会需要SIEM提供商的专业服务来帮忙，但节省下来的安全团队非重要警报挖掘工时，却是很值回票价的。

　　把安全团队的精力放在公司最重要的部分吧。要说服企业主不是每件事都值得保护是挺难的，他们自己在告诉你对自家业务部门真正重要的事上也挺挣扎。

　　3. 在早期阶段捕获威胁

　　BlueCat首席技术官安德鲁·维特金：随着安全威胁通过多种攻击方式不断进化，单纯依靠预防性方法缓解已知风险已不足够。安全分析已成为在安全事件发生后进行鉴证分析的基本工具。然而，只要使用得当，安全分析也可以帮助公司识别可疑行为，无论是内部的还是外部的，并能在潜在风险表现出来之前就主动封禁掉，还能对不断进化的威胁提供早期预警。

　　4. 数据并非越多越好

　　Citrix首席安全官斯坦·布莱克：在构建安全数据池、数据云和数据集群之前，先搞清自己公司的目的，比如识别诈骗、内部人、恶意行为人、错误、误操作等等。先排出预期结果的优先级，再去看那些不需要分析的数据。技术不会从事网络犯罪，人才会。有了这个认知，分析通常始于角色挖掘，基于经验量化出用户能做、可能会做，或不应该做的事，可以建立起一条用户底线。通过定义“已知良好”，安全分析便能专注在“未知”和“异常”上来发现潜在威胁。

(责任编辑：安博涛)