Cet article fournit des recommandations pour identifier les histoires XOps qui peuvent être mises en sourdine pour réduire la fatigue des histoires.
XOps offre une visibilité avancée et un contrôle sur les événements de sécurité via l'Atelier des Histoires. Cependant, des alertes excessives ou répétitives peuvent submerger les équipes de sécurité et masquer les menaces réelles, un défi connu sous le nom de fatigue des alertes. Lorsque les analystes sont confrontés à de grandes quantités d'histoires, y compris des notifications de faible valeur ou redondantes, ils risquent de négliger les incidents critiques nécessitant une attention immédiate.
Les recommandations de cet article aident à identifier les histoires qui n'ont pas besoin de génération d'histoires et à créer des règles Histoires mises en sourdine qui aident à rationaliser la gestion des alertes. Ce faisant, les organisations peuvent se concentrer sur les histoires prioritaires tout en réduisant le bruit inutile.
Vous pouvez alors noter l'impact de ces changements en comparant les volumes d'alertes, en examinant la charge de travail des analystes et en confirmant qu'aucune détection critique n'a été mise en sourdine par erreur, garantissant que la réduction des alertes améliore l'efficacité sans sacrifier la visibilité de la sécurité.
Voici quelques exemples d'histoires qui pourraient être mises en sourdine pour réduire la fatigue des histoires. Ces meilleures pratiques sont recommandées sur la base de l'expérience de Cato. Cependant, elles ne sont pas obligatoires, et vous pouvez mettre en sourdine toutes les histoires qui ne sont pas pertinentes ou utiles pour le processus de triage de votre organisation.
Les réseaux invités sont généralement des environnements isolés conçus pour les visiteurs ou un accès temporaire. L'activité sur ces réseaux inclut souvent la navigation de routine, les mises à jour, ou des communications externes légitimes pouvant ressembler à des comportements menaçants de bas niveau. En filtrant ou en mettant en sourdine les histoires générées par les réseaux invités, vous pouvez réduire le nombre d'histoires sans compromettre la visibilité dans l'environnement d'entreprise géré.
Pour mettre en sourdine les Histoires provenant de votre réseau invité, créez une règle Histoires mises en sourdine et définissez la Source sur la plage IP de votre réseau invité.
Les appareils non-gérés, tels que les smartphones ou tablettes appartenant aux employés, ne sont pas contrôlés ou surveillés par les outils de sécurité de l'entreprise. Ces points de terminaison peuvent générer des Histoires qui semblent anormales simplement parce qu'elles fonctionnent en dehors des standards de sécurité de l'organisation. Identifier et supprimer les histoires de ces appareils garantit que les analystes se concentrent sur les Histoires liées aux ressources gérées et de plus grande valeur.
Pour mettre en sourdine les Histoires provenant d'un appareil mobile non-géré, créez une règle Histoires mises en sourdine et définissez l'Appareil sur iOS et Android.
Les plates-formes de test de sécurité, ou les outils d'équipes rouges internes, simulent souvent des attaques pour valider la résilience du système. Ces actions peuvent produire des histoires prévisibles et répétitives qui encombrent la vue d'analyse. En reconnaissant et en mettant en sourdine les histoires associées aux tests programmés, les équipes peuvent prévenir les faux positifs tout en maintenant une surveillance de l'activité des menaces réelles.
Pour mettre en sourdine les histoires déclenchées par des tests de pénétration ou un outil d'évaluation de la sécurité, créez une règle Histoires mises en sourdine et définissez la Source comme l'utilisateur exécutant les tests ou l'IP du scanner de sécurité dans votre réseau.
Après un mois, examinez l'efficacité de vos règles de mise en sourdine et du processus global de réglage des alertes pour vous assurer que le volume d'histoires a diminué sans perdre de visibilité sur les menaces significatives. Pour soutenir cette validation, vous pouvez définir une date d'expiration sur les règles de mise en sourdine des histoires. La règle s'applique uniquement dans la période définie, vous aidant à confirmer qu'elle n'est pas trop large ou qu'elle ne supprime pas intentionnellement des alertes importantes. Une fois que vous êtes sûr de son exactitude, vous pouvez étendre l'expiration de la règle ou la rendre permanente dans le cadre de votre processus de réglage continu.
Suivez le nombre total d'histoires générées avant et après la mise en œuvre des règles de mise en sourdine. Une réduction significative des histoires à faible risque ou répétitives indique que les filtres fonctionnent comme prévu. Ces données peuvent également mettre en évidence les domaines où un réglage supplémentaire peut être nécessaire pour maintenir un équilibre entre la réduction des alertes et la visibilité.
Évaluez combien de temps les administrateurs ou les analystes passent à enquêter sur de nouvelles histoires. Une diminution notable du temps de triage suggère que moins de faux positifs sont affichés, permettant aux équipes de se concentrer sur les incidents réels. Ces améliorations peuvent directement se traduire par des temps de réponse plus rapides et une efficacité opérationnelle globale plus élevée.
En fonction des résultats, déterminez si certaines règles de mise en sourdine peuvent être élargies ou doivent être restreintes. Ajuster les seuils ou les portées des entités garantit l'optimisation continue de la couverture des alertes. Avec le temps, cette approche itérative construit un cadre durable pour réduire le bruit tout en préservant un poste de sécurité solide.
0 commentaire
Cet article n'accepte pas de commentaires.