SIEM Alien Vault静音噪声推荐方法

Question

我已经在我的环境中安装了外星人跳台，我看到了大量的原木进入暹粒。经过进一步的调查，我发现这些都是由AlienVault本身产生的。我认为这些事件是喧闹的，在我需要看到真实事件的地方，会产生自满情绪。我想大多数人都在某种程度上忽视了这些事件。我在网上读过书，我只能找到这个

如何防止在ossim中显示alienvault日志？

从上面的文章来看，我认为这个方法有点不太好。

以下是我目前正在做的事情。我为AlienVault源创建了两个规则，为AlienVault的目的地创建了一个规则，然后将它们设置为No。这是一种良好的练习吗？

是否建议沉默或静音AlienVault警报？

什么是一个好的或干净的方式来实现这一点？

Answer 1

我通过电子邮件联系了AlienVault，他们给我发了你在问题中描述的解决办法：

1.-制定2项政策。转到配置->威胁情报->策略。选择默认组。2.-第一策略将以AlienVault Appliance作为源ip。单击新策略。在源ip上为类似策略的‘from AV’设置名称，选择alienvault设备资产，从目标域的资产树中选择any on siem appliance，选择no。3.-第二，以AlienVault设备IP为目的地。单击新策略。在目标ip上为类似于AV的策略设置名称，选择alienvault设备资产，从源字段中的资产树中选择any on siem appliance，选择no。4.- Reload策略您应该有一个红色标签/按钮‘重新加载策略’点击它。这将阻止AlienVault捕获和分析自己的流量。