很多組織的網絡安全運營工作正在陷入一種“怪圈”：收集一切數據，卻一無所獲，但是還要不斷為此投入更多的人力和資金。而這種怪相的背后，實際上是一種“無差別數據收集和囤積”的錯誤運營理念。

隨著現代企業安全防護措施的不斷完善，很多安全運營團隊所面臨的困境并非數據不足，而是 “錯誤數據過剩”所導致的運營成本上升、檢測能力下降和安全運營團隊過勞等。在此背景下，定期開展數據“大掃除”成為了很多企業安全運營工作中的一項核心策略。

保持安全運營數據衛生的必要性

在AI技術快速發展的智能化時代，數據驅動已然成為網絡安全技術創新至關重要的 “武器”，特別是對于網絡安全運營團隊而言，AI模式下的體系化風險分析能夠為降低企業網絡風險提供可行的建議，但這一切的前提是擁有強大而可用的數據基礎。

多年來缺乏有效管理的數據增長，會讓企業安全運營的數據環境變得臃腫、低效且成本高昂。如果不能定期進行清理優化，組織的安全運營中心將會淹沒在來自網絡、終端、云以及其他不斷新增來源的日志和監測數據中。 

實際上，這些數據中的大部分都是冗余、無關甚至是純粹的噪音，而低價值監測數據的大量存留會直接影響到安全威脅檢測的準確性、效率，并降低運營團隊獲取組織真實安全風險態勢的能力。最糟糕的是，雜亂的安全運營數據意味著分析師花費在篩選垃圾數據上的時間遠超過應對實際攻擊事件。 

因此，組織不能繼續將安全數據管理視為 “收集一切”的問題，必須摒棄 “無差別數據囤積” 的過時理念，優先聚焦于數據的精選、情境化和價值效率，僅在必要時傳遞關鍵信息，并最大程度豐富數據內涵，并將其存儲于最合理的位置，這樣不僅可以在成本節約方面占據優勢，也有利于實現更快、更有效的安全運營工作。

安全運營數據“大掃除”的5點建議

定期開展安全運營數據“大掃除”的核心目標就是要確保安全團隊能夠在不被無關監測數據淹沒的前提下，高效檢測真實的安全威脅，它必須成為安全運營工作中一項可行且有效的核心策略。為了實現這一目標，組織可以參考以下步驟對現有的海量安全運營數據進行清理和優化：

用AI替代人工的數據采集規則配置

傳統的安全運營工作中，需要持續不斷的進行數據采集規則調整，這成為安全運營團隊的巨大工作負擔，而且還會因任務蔓延導致數據采集方向出現偏離。隨著安全運營技術的發展，運營團隊可以借助多種新一代技術，包括機器學習、向量分析、知識圖譜和大語言模型（LLMs）等，來實現運營數據轉換和優先級排序的自動化流程。

現代安全運營需要更動態、更具適應性的數據處理工作流，因為安全運營數據并非靜態的，所以其采集規則也不應僵化。人工智能驅動的方法可分析跨數據集的模式，而非依賴針對單個警報的脆弱手動規則。

將安全數據分層采集和存儲

在很多企業的安全運營考核體系中，仍然將數據采集數量設為重要的考核指標，而非依據數據的內在安全價值。這一考核機制鼓勵過度收集，迫使安全團隊將精力和預算浪費在很多對實際威脅檢測毫無貢獻的冗余日志上。安全運營團隊不應為從未生成警報或價值的原始日志浪費資源，更科學的數據采集要求包括：

• 采用分層存儲策略：將高保真日志盡可能保留在實時分析層，同時將批量監測數據歸檔至一些成本效益更高的對象存儲設施中；
• 將非關鍵數據卸載到安全數據湖：支持回溯分析，避免產生實時性的數據采集成本。
• 在數據采集前對不同設備的運營日志進行去重和預處理：減少數據采集和存儲過程中的資源浪費，同時保留分析深度。

優先采集高保真數據，構建自動化分析能力

對于安全運營工作，如何獲取“更好的數據”是關鍵。盡管安全數據本身并無絕對的好壞之分，但關鍵在于如何從中有效提取出有價值的威脅洞察。

長期以來，很多網絡安全廠商推崇 “收集一切” 的產品策略，但這導致安全數據的邊際效益遞減，難以實現 “去粗取精”。存儲的無關日志越多，從噪音中識別有意義信號的難度就越大。而問題的核心并非數據過多，而是缺乏能實時提取正確數據的自動化大規模分析能力。

目前，有很多創新的數據密集型提取方式能顯著提升采集效率并拓展數據的用例，這些方法也為安全日志的價值挖掘創造了機會：

• 安全運營團隊不應將日志視為孤立事件，而應結合上下文并采用規模化分析技術；
• 不應依賴預定義的關聯規則，而應動態挖掘安全數據，識別跨大規模數據集的趨勢；
• 安全監測數據在進入下游工具和分析流程前，應經過預處理、豐富數據和優先級排序，形成高保真的有效數據，而非將原始數據全部提供給SIEM系統。

通過可解釋性與本體模型實現上下文關聯清理

缺乏上下文的安全警報會拖慢安全團隊的威脅響應速度。每一次檢測都需回答三個關鍵問題：這是真實威脅嗎？它有多重要？下一步怎么做？

若沒有自動化的數據關聯和豐富機制，分析師只能手動翻查原始日志，拼湊碎片化信息。通過將安全數據映射到基于本體的模型（如 MITRE ATT&CK 框架），或疊加外部威脅、內部用戶與資產上下文，運營團隊無需額外人工投入即可獲得更深入的調查背景。更關鍵的是，隨著安全運營逐步走向自動化，上下文豐富機制還能為基于邏輯或 AI 代理的自動化決策提供支持。

在開展網絡安全運營數據清理時，實現上下文的關聯處理至關重要，因為安全數據的核心價值就是體現在其能否幫助分析師和檢測工具更快做出更優的決策。

不再“自建”安全數據管理體系

多年來，安全團隊無奈只能復用日志管理工具、自定義腳本和 “自建” 方案來理解和利用所采集到的各種安全監測數據。但如今，一些專為安全數據工程設計的專業工具正在崛起：

• 安全監測數據管道可在日志信息進入 SIEM 或 XDR工具前完成清洗、豐富和路由優化；
• 安全數據湖中常見的 “讀時模式”（Schema-on-Read）架構使安全團隊能夠按需分析數據，而非在攝入前預先過濾所有內容；
• “無 SOC”（SOCless）模式正在開創無需依賴單體 SIEM 部署的威脅檢測與響應新路徑。

通過這些新一代的工具，安全團隊無需再與工具進行“搏斗”。安全運營數據利用的關鍵在于優先考慮效率、數據豐富性和實時分析，避免傳統數據復用模式所帶來的隱性成本。

參考鏈接：https://www.helpnetsecurity.com/2025/03/25/security-data-hygiene/