يوفر هذا المقال توصيات لتحديد قصص XOps التي يمكن كتمها لتقليل إجهاد القصص.
توفر XOps رؤية وتحكم متقدمين في أحداث الأمان من خلال منضدة القصص. ومع ذلك، يمكن أن تطغى الإشعارات المفرطة أو المتكررة على فرق الأمان وتخفي التهديدات الحقيقية، وهو تحدي يُعرف باسم إجهاد الإشعارات. عندما يواجه المحللون كميات كبيرة من القصص، بما في ذلك الإشعارات ذات القيمة المنخفضة أو الزائدة، يواجهون مخاطر غض النظر عن الحوادث الحرجة التي تحتاج إلى اهتمام فوري.
تساعد التوصيات المذكورة في هذا المقال على تحديد القصص التي لا تحتاج إلى توليد قصة وإنشاء قاعدة كتم القصص التي تُسهم في تنظيم إدارة الإشعارات. من خلال القيام بذلك، يمكن للمنظمات الحفاظ على التركيز على القصص عالية الأولوية بينما تقلل من الضوضاء غير الضرورية.
يمكنك بعد ذلك ملاحظة تأثير هذه التغييرات من خلال مقارنة حجم الإشعارات، ومراجعة عبء عمل المحلل، والتأكد من عدم كتم الكشوفات الحرجة عن طريق الخطأ، لضمان أن تقليل الإشعارات يحسن الكفاءة دون التضحية برؤية الأمان.
هذه بعض الأمثلة على القصص التي يمكن كتمها لتقليل إجهاد القصص. تُوصى هذه الممارسات الجيدة بناءً على تجربة كاتو. ومع ذلك، هي ليست إلزامية، ويمكنك كتم أي قصص لا تعتبر ذات صلة أو مفيدة لعملية فرز منظمتك.
عادة ما تكون الشبكات الضيفّة بيئات منعزلة مصممة للزوار أو الوصول المؤقت. النشاط على هذه الشبكات غالبًا ما يتضمن التصفح الروتيني، التحديثات، أو الاتصالات الخارجية الشرعية التي قد تبدو وكأنها سلوكيات تهديد منخفضة. من خلال تصفية أو كتم القصص الناتجة عن الشبكات الضيفّة، يمكنك تقليل عدد القصص دون وضوح في البيئة المؤسسية المدارة.
لكتم القصص النابعة من شبكة الضيف الخاصة بك، أنشئ قاعدة كتم القصص واضبط المصدر إلى نطاق IP الخاص بشبكتك الضيفّة.
الأجهزة غير المُدارة، مثل الهواتف الذكية أو الأجهزة اللوحية الخارجة عن تحكم ومراقبة الأدوات الأمنية المؤسسية المركزية. هذه الأجهزة يمكن أن تولد قصص تبدو غير طبيعية لمجرد أنها تعمل خارج قاعدة الأمان للمؤسسة. يؤكد تحديد وتقديم القصص من مثل هذه الأجهزة أن المحللين يقضون وقتًا على القصص المرتبطة بالأصول المدارة عالية القيمة.
لكتم القصص النابعة من جهاز محمول غير مُدار، أنشئ قاعدة كتم القصص واضبط الجهاز إلى نظام iOS وAndroid.
منصات اختبار الأمان، أو أدوات الفريق الأحمر الداخلية، غالبًا ما تُحاكي الهجمات للتحقق من قوة النظام. يمكن لهذه الإجراءات أن تُنتج قصصًا متوقعة ومتكررة تُعكر المشهد التحليلي. من خلال التعرف وكتم القصص المرتبطة بالاختبارات المجدولة يمكن للفرق منع الإيجابيات الكاذبة مع الحفاظ على إشراف على النشاط التهديدي في العالم الواقعي.
لكتم القصص التي يتم تشغيلها بواسطة اختبار اختراق أو أداة تقييم أمني، أنشئ قاعدة كتم القصص واضبط المصدر كمستخدم يشغل الاختبارات أو IP للماسح الأمني في شبكتك.
بعد شهر واحد، راجع فعالية قواعد الكتم الخاصة بك وعملية ضبط الإشعارات بشكل عام للتأكد من أن حجم القصص قد انخفض دون فقدان الرؤية في التهديدات الهامة. لدعم هذا التحقق، يمكنك ضبط تاريخ انتهاء على قواعد كتم القصص. تنطبق القاعدة فقط ضمن الإطار الزمني المحدد، مما يساعدك في التأكد من أنها ليست واسعة جدًا أو تُقمع عن طريق الخطأ الإشعارات الهامة. بمجرد أن تكون واثقًا من دقتها، يمكنك تمديد انتهاء القاعدة أو جعلها دائمة كجزء من سير العمل المستمر لضبط الإشعارات.
تتبع العدد الإجمالي للقصص المُولدة قبل وبعد تطبيق قواعد الكتم. تشير تخفيض كبير في القصص ذات الخطورة المنخفضة أو المتكررة إلى أن الفلاتر تعمل كما هو مُخطط لها. يمكن لهذه البيانات أيضًا أن تُظهر المجالات التي تحتاج إلى تحسينات إضافية للحفاظ على توازن بين تقليل الإشعارات والرؤية.
قيّم كم من الوقت يقضيه المسؤولون أو المحللون في التحقيق في القصص الجديدة. تشير التخفيض الملحوظ في وقت الفرز إلى أن إيجابيات كاذبة أقل تظهر مما يسمح للفرق بالتركيز على الحوادث الحقيقية. هذه التحسينات يمكن أن تترجم مباشرة إلى أوقات استجابة أسرع وكفاءة تشغيلية أعلى بشكل عام.
لا توجد تعليقات
المقال مغلق أمام التعليقات.