教你三招!帮你高效处理安全警报
发布时间:2022-02-15 13:40:24 所属栏目:安全 来源:互联网
导读:测试自身网络 Data Theorem的COO Doug Dooley表示,比起处理误报,SOC分析师通常更厌倦于追踪影响力较低的安全警报。这种情况可能会出现在,例如当安全团队没法专注于处理那些对业务有重大影响的问题,而是被组织起来寻找在生产应用程序中可能都不会被用到
|
测试自身网络 Data Theorem的COO Doug Dooley表示,比起处理误报,SOC分析师通常更厌倦于追踪影响力较低的安全警报。这种情况可能会出现在,例如当安全团队没法专注于处理那些对业务有重大影响的问题,而是被组织起来寻找在生产应用程序中可能都不会被用到的代码的质量问题时。"secops团队很容易被非关键任务警报所困扰,而这些警报被不公平地归类为'误报'。"Dooley说。 保持良好的记录和指标 保留白费力气的搜索调查记录是减少这种情况再次发生的好方法。为了改进检测和调整警报,SOC 需要从可操作信号中滤除干扰信号,这就需要企业拥有可以回顾和学习的数据。 Vectra的Wade说:“在一个时间、资源和注意力都有限的世界里,每当我们把精力花在一个误报上时,企业就会产生一个可操作的信号被忽视的风险。SOC需要保持有效的调查记录和指标,以不断提高检测工程的工作效率,这一点再怎么强调也不为过。” 不幸的是,对于许多SOC团队来说,这种改善进程所必需的长期规划工作往往会被当下的混乱问题所耽误。 Bambenek说,安全警报工具应该有一个反馈机制和指标,允许防御者跟踪提供商和信息来源的误报率。如果你使用的是安全遥测数据湖,你还可以查看针对以前数据的指标和新规则,以了解误报率。 仅靠自动化是不够的 自动化如果实施得当,可以帮助解决现代 SOC 中的警报过载和技能短缺的问题。但是,企业需要技术熟练的员工,或者能从例如托管服务提供商那里得到人才帮助,才能充分利用自动化技术。 Invicti首席产品官Sonali Shah表示,团队人工确认每个漏洞需要一小时,于是他们每年可能需要花费高达10000个小时来处理误报。然而,在Invicti的调查中,超过四分之三的受访者表示他们总是或经常手动验证漏洞。在这种情况下,集成在现有工作流中的自动化可以帮助解决与误报相关的困难。 Deep Instinct的Everette表示,必须调整警报、事件和日志。主题专家必须对系统进行配置,以确保只有高保真警报能被呈现出来,并设置相应的事件触发器,以确保在需要时提高响应的优先级。为了有效地做到这一点,企业必须关联和分析来自如安全日志、事件和威胁数据等多个来源的数据。Everette说,安全警报工具“不是一成不变的机制”。为了最大限度地利用警报工具,SOC需要伺机而动,扩大和增强每个工具的功能,以减少误报的数量并提高其整体安全态势的有效性。 (编辑:温州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
