Este artículo brinda recomendaciones para identificar historias XOps que se pueden silenciar para reducir la fatiga de historias.
XOps proporciona visibilidad y control avanzados sobre eventos de seguridad a través del Banco de Trabajo de Historias. Sin embargo, las alertas excesivas o repetitivas pueden abrumar a los equipos de seguridad y oscurecer amenazas genuinas, un desafío conocido como fatiga de alertas. Cuando los analistas enfrentan grandes volúmenes de historias, incluidas notificaciones de bajo valor o redundantes, corren el riesgo de pasar por alto incidentes críticos que requieren atención inmediata.
Las recomendaciones en este artículo ayudan a identificar historias que no necesitan generación de historias y crear reglas de Historias Silenciadas que ayudan a agilizar la gestión de alertas. Al hacerlo, las organizaciones pueden mantener el enfoque en historias de alta prioridad mientras reducen el ruido innecesario.
Luego puede notar el impacto de estos cambios comparando volúmenes de alertas, revisando la carga de trabajo del analista, y confirmando que no se hayan silenciado detecciones críticas de manera involuntaria, garantizando que la reducción de alertas mejore la eficiencia sin sacrificar visibilidad de seguridad.
Estos son algunos ejemplos de historias que podrían silenciarse para reducir la fatiga de historias. Estas mejores prácticas se recomiendan basadas en la experiencia de Cato. Sin embargo, no son obligatorias, y puede silenciar cualquier historia que no sea relevante o útil para el proceso de triaje de su organización.
Las redes de invitados son típicamente entornos aislados diseñados para visitantes o acceso temporal. La actividad en estas redes a menudo incluye navegación rutinaria, actualizaciones o comunicaciones externas legítimas que pueden parecer comportamientos de amenaza de bajo nivel. Al filtrar o silenciar historias generadas desde redes de invitados, puede reducir el número de historias sin comprometer la visibilidad en el entorno corporativo gestionado.
Para silenciar historias originadas desde su red de invitados, cree una regla de Historias Silenciadas y establezca la Fuente al rango de IP de su red de invitados.
Dispositivos no gestionados, como teléfonos inteligentes o tabletas propiedad de empleados, no están controlados o monitoreados centralmente por herramientas de seguridad corporativas. Estos puntos de conexión pueden generar Historias que parecen anómalas simplemente porque operan fuera del marco de seguridad de la organización. Identificar y suprimir historias provenientes de dichos dispositivos asegura que los analistas pasen tiempo en historias relacionadas con activos de mayor valor gestionados.
Para silenciar Historias originadas desde un dispositivo móvil no gestionado, cree una regla de Historias Silenciadas y establezca el Dispositivo en iOS y Android.
Las plataformas de prueba de seguridad, o herramientas internas de equipos rojos, a menudo simulan ataques para validar la resiliencia del sistema. Estas acciones pueden producir historias repetitivas y previsibles que llenan la vista de análisis. Al reconocer y silenciar historias asociadas con pruebas programadas, los equipos pueden prevenir falsos positivos mientras mantienen la supervisión de la actividad de amenazas del mundo real.
Para silenciar historias que son activadas por pruebas de penetración o una herramienta de evaluación de seguridad, cree una regla de Historias Silenciadas y establezca la Fuente como el usuario que ejecuta las pruebas o la IP del escáner de seguridad en su red.
Después de un mes, revise la efectividad de sus reglas de silencio y el proceso general de ajuste de alertas para asegurar que el volumen de historias ha disminuido sin perder visibilidad de amenazas significativas. Para apoyar esta validación, puede establecer una fecha de expiración en las reglas de silencio de historias. La regla se aplica solo dentro del periodo de tiempo definido, ayudándole a confirmar que no es demasiado amplia o que no suprime intencionalmente alertas importantes. Una vez que esté seguro de su precisión, puede extender la expiración de la regla o hacerla permanente como parte de su flujo de trabajo de ajuste continuo.
Haga seguimiento del número total de historias generadas antes y después de implementar reglas de silencio. Una reducción significativa en historias de bajo riesgo o repetitivas indica que los filtros están funcionando según lo previsto. Estos datos también pueden resaltar áreas donde podría ser necesario un ajuste adicional para mantener un equilibrio entre reducción de alertas y visibilidad.
Evalúe cuánto tiempo pasan los administradores o analistas investigando nuevas historias. Una disminución notable en el tiempo de triaje sugiere que se están detectando menos falsos positivos, lo que permite a los equipos enfocarse en incidentes genuinos. Estas mejoras pueden traducirse directamente en tiempos de respuesta más rápidos y una mayor eficiencia operativa en general.
Basándose en los resultados, determine si ciertas reglas de silencio pueden expandirse o necesitan ser restringidas. Ajustar umbrales o alcances de entidades asegura una optimización continua de la cobertura de alertas. Con el tiempo, este enfoque iterativo construye un marco sostenible para reducir el ruido mientras se preserva una postura de seguridad fuerte.
0 comentarios
El artículo está cerrado para comentarios.