@不喜丶不悲
2年前 提问
1个回答

缓解网络警报疲劳的措施有哪些

安全小白成长记
2年前

缓解网络警报疲劳的措施有以下这些:

  • 可操作的警报:减少警报疲劳的第一步是确保所有警报都是可操作的。没有什么比发现您的SOC人员花费大量时间来关闭不可操作的警报更糟糕的了。尽管这似乎是一个小问题,但分析师可能需要30分钟以上的时间来审查和调查警报,然后才能确定是否需要采取措施来解决它。有时,他们甚至可能需要联系其他团队成员或IT人员,这会导致额外的时间浪费。

  • 警报优先级矩阵:优先级矩阵(也称为事件优先级矩阵或事件评分系统)可显著减少优先级警报(严重和高危),减少工作时间和非工作时间的警报。因此,尽管开发优先级矩阵需要时间并且必须进行定期审查,但绝对值得投入。设计优先级矩阵的方法有,但通常都是根据所涉及的系统和用户(的级别和规模)来确定安全事件的严重性和关键程度。例如,如果SOC在5分钟内收到超过20个网络钓鱼警报,则其优先级显然要高于针对单个用户的网络钓鱼警报。

  • 使用阈值:如前所述,单次事件可能被视为低危或中危,但如果该事件连续发生或在指定时间范围内多次发生,团队可能会决定配置让其触发警报。使用阈值检测多次出现的可疑行为有助于显着减少SIEM(安全信息和事件管理)生成的低优先级警报和误报的数量。通常,企业不愿设置阈值是因为害怕错过重要的检测。如果团队认同单次或两次事件的发生是良性的,随后合作定义了需要介入调查的发生次数,他们可以据此实施阈值并根据需要进行调整。这种做法使团队对警报的必要性达成共识的同时,能够设置合适的检测/预防阈值,提高警报的价值。

  • 自动化:自动化是网络安全行业的一个流行词,也是减少警报疲劳的主要方法之一。安全程序可以各种方式实现自动化。对于初级用户,它可以自动关闭低优先级警报。通常,安全团队出于审计目的需要某些警报,因此数据可用于临时或计划的审查,但不想查看每个单独的警报。在这些情况下,自动关闭警报是有意义的,可以为SOC团队成员节省一点时间。

  • 持续审查和改进:处理良性警报和误报最简单的方法是关闭它们。安全人员应该不断质疑那些看上去是警报实际上是信息的“警报”的价值,探究为什么会收到如此多的误报,等等。提出这些问题并要求其他团队成员和领导层共同参与回答这些问题,就相关警报的必要性或调整方式开展更积极,更有价值的讨论。