你在公司负责运维系统,某天凌晨收到几十条告警短信,点开一看全是“登录尝试失败”。真正关键的数据库异常访问却被淹没其中。这不是告警太多,而是严重性告警设置没做好。
告警不是越多越好
很多管理员一上来就把所有事件都设成“高危”,结果系统整天响个不停。时间一长,大家习惯性忽略告警,反而错过了真正的威胁。就像那个总喊“狼来了”的孩子,真出事时没人当真。
合理的严重性告警设置,是把事件按影响范围、可利用性和修复难度分级。比如普通用户输错密码三次,可以记为“低”;而管理员账户从境外IP登录,则应标记为“紧急”。
常见日志事件的分级参考
以下是一些典型场景的建议划分:
- 低(Low):单次登录失败、页面404错误、非敏感文件访问
- 中(Medium):连续5次以上登录失败、敏感目录浏览尝试
- 高(High):成功登录非常用设备或地点、防火墙规则被修改
- 紧急(Critical):特权账户启用、核心数据导出、RDP远程登录来自黑名单地区
在SIEM系统中配置示例
以常见的ELK Stack为例,可以在Elasticsearch的检测规则中指定severity字段:
{
"rule_name": "Admin Login from Unusual Location",
"query": "event.action: 'login' AND user.name: 'admin' AND geo.city: 'Minsk'",
"severity": "critical",
"tags": ["authentication", "admin"]
}这条规则一旦触发,就会生成一条紧急级别告警,并通过邮件或企业微信通知值班人员。
别忘了动态调整
你上周刚封掉一个频繁扫描端口的IP,结果这周它换了个马甲又来。系统如果还沿用旧规则,可能只报个“中等”级别。定期回顾告警记录,把重复出现的中高风险行为升级处理,才能让防御机制持续有效。
有家公司就吃过这个亏:攻击者先用低频试探绕过监测,一个月后突然爆发式入侵。事后看日志,前期已有上百次可疑连接,但都被归为“低风险”自动归档,没人查看。
结合通知渠道做分级推送
不是所有告警都需要打电话叫醒人。可以通过设置不同严重性对应不同通知方式:
- 低/中:写入日志平台,每日汇总邮件
- 高:发送企业微信/钉钉消息
- 紧急:触发电话呼叫+短信双提醒
这样既能保证响应速度,又不会让团队陷入“告警疲劳”。
真正的安全防护,不在于堆了多少设备,而在于能否快速识别并响应最关键的威胁。把严重性告警设置理顺了,等于给你的系统装上了会思考的眼睛。