Yamato-Security Hayabusa项目：基于上下文感知的告警严重性增强机制解析

背景与需求

在传统安全监控体系中，告警严重性通常基于静态规则进行判定，而忽略了目标系统在业务环境中的实际价值。以安全测试工具检测为例：当其在普通办公终端出现时可能仅需低优先级响应，但若发生在域控制器(DC)上则应立即触发最高级别告警。Yamato-Security团队在Hayabusa项目中针对这一痛点，提出了基于资产敏感度的动态告警分级增强机制。

技术实现方案

核心设计理念

1. 动态权重调整：通过预定义的敏感主机清单（如DC/文件服务器/特权账号终端），对告警原始严重性进行动态升级：

   • info → 保持info
   • low → medium
   • medium → high
   • high → critical
   • critical → fatal（新增终极告警级别）

2. 自动化资产发现：考虑到管理员可能无法完整识别敏感资产，系统内置智能发现功能：

   • 解析特定事件日志（如Kerberos认证事件识别DC）
   • 分析文件共享行为特征识别文件服务器
   • 追踪特权账号登录记录定位管理终端

实现架构

graph TD
    A[原始日志输入] --> B[基础规则匹配]
    B --> C{敏感资产匹配?}
    C -->|是| D[严重性升级]
    C -->|否| E[保持原级别]
    D --> F[告警输出]
    E --> F

技术优势

1. 精准响应：避免对非关键系统的告警过度响应，同时确保关键资产异常能被立即关注
2. 自适应能力：通过自动发现的资产画像持续优化告警策略
3. 扩展性设计：支持用户自定义敏感资产清单与升级规则

典型应用场景

• 域控入侵检测：将DC上的PsExec使用告警从medium自动提升至critical
• 数据泄露防护：文件服务器上的异常数据访问行为直接触发fatal级别
• 横向移动监测：域管理员终端出现的RDP爆破尝试自动升级告警

最佳实践建议

1. 初期部署时启用自动发现功能构建资产库
2. 定期审计敏感资产清单（建议每周）
3. 对fatal级别告警配置自动化响应流程
4. 结合业务上下文微调升级规则（如财务系统特殊处理）

该功能已在Hayabusa 3.1.1版本正式发布，标志着安全告警系统从"规则驱动"向"上下文驱动"的重要演进。