XOpsストーリー疲労の減少

この記事では、ストーリー疲労を軽減するためにミュートできるXOpsストーリーを識別するための推奨事項を提供します。

概要

XOpsは、ストーリーワークベンチを通じてセキュリティイベントに関する高度な可視性と管理を提供します。しかし、過剰または繰り返しのアラートはセキュリティチームを圧倒し、アラート疲労として知られる課題である実際の脅威を見えにくくする可能性があります。特に低価値または冗長な通知を含む大量のストーリーに直面した場合、アナリストは即時に対応が必要な重要なインシデントを見逃すリスクがあります。

この記事の推奨事項は、ストーリー生成が不要なストーリーを識別し、アラート管理を合理化するのに役立つミュートストーリールールの作成を支援します。こうして、組織は優先度の高いストーリーに集中する一方で、不要なノイズを減らすことができます。

その後、アラートのボリュームを比較し、アナリストの作業負荷を確認し、重要な検知が誤ってミュートされていないことを確認することで、これらの変更の影響を確認でき、アラートの削減がセキュリティの可視性を犠牲にすることなく効率を改善することが保証されます。

ミュートするストーリーの特定

これは、ストーリー疲労を軽減するためにミュートできるストーリーのいくつかの例です。これらのベストプラクティスは、Catoの経験に基づいて推奨されています。ただし、必須ではなく、自分の組織のトリアージプロセスに関連がない、または役立たないと思われるストーリーをミュートすることができます。

ゲストネットワークから発信されたストーリー

ゲストネットワークは通常、訪問者または一時的なアクセスのために設計された孤立した環境です。これらのネットワーク上での活動には、ルーチンのブラウジング、更新、または低レベルの脅威行動に類似しているかもしれない正当な外部通信が含まれることがあります。ゲストネットワークから生成されたストーリーをフィルタリングまたはミュートすることで、管理対象の企業環境の可視性を損なうことなく、ストーリーの数を減らすことができます。

ゲストネットワークからのストーリーをミュートするには、ミュートされたストーリーのルールを作成し、ソースをゲストネットワークのIP範囲に設定します。

管理外のモバイルデバイスから発信されたストーリー

従業員所有のスマートフォンやタブレットなどの管理されていないデバイスは、企業のセキュリティツールによって集中管理または監視されていません。これらのエンドポイントは、組織のセキュリティ・ベースライン外で動作するために、異常と思われるストーリーを生成することがあります。そのようなデバイスからのストーリーを識別して抑制することで、アナリストは管理されている価値の高いアセットに結びつくストーリーに時間を費やすことが確保されます。

管理外のモバイルデバイスからのストーリーをミュートするには、ミュートされたストーリーのルールを作成し、デバイスをiOSとAndroidに設定します。

ペネトレーションテストまたはセキュリティ評価ツールによって引き起こされたストーリー

セキュリティテストプラットフォームまたは内部レッドチームツールは、システムの耐性を検証するために攻撃をシミュレートすることがよくあります。これらのアクションは、分析ビューを混雑させる予測可能で繰り返しのストーリーを生成する可能性があります。定期的にスケジュールされたテストに関連付けられたストーリーを認識してミュートすることで、チームは偽陽性を防ぎつつ、実際の脅威アクティビティへの監視を維持できます。

ペネトレーションテストまたはセキュリティ評価ツールによってトリガーされたストーリーをミュートするには、テストを実行しているユーザーまたはネットワーク内のセキュリティスキャナのIPをソースとしてミュートされたストーリーのルールを作成します。

影響の測定

1か月後に、ミュートルールの効果と全体的なアラートチューニングプロセスをレビューして、ストーリーのボリュームが減少し、意味のある脅威への可視性が失われていないことを確認してください。この検証をサポートするために、ミュートストーリールールに有効期限を設定することができます。ルールは定義された期間内でのみ適用され、重要なアラートを意図せずに抑制していないか確認するのに役立ちます。正確性に自信が持てたら、ルールの有効期限を延長するか、定期的なチューニングワークフローの一環として永久にすることができます。

総ストーリー数とミュートされたストーリー数の比較

ミュートルールを実施する前後のストーリーの総数を追跡します。低リスクまたは繰り返しのストーリーの大幅な減少は、フィルターが意図通りに機能していることを示します。このデータは、アラート削減と可視性のバランスを維持するために追加の微調整が必要とされる領域を示すこともできます。

アナリストの作業負荷とストーリートリアージの時間を見直す

管理者またはアナリストが新しいストーリーを調査するのに費やす時間を評価します。トリアージ時間の顕著な減少は、偽陽性が少なくなり、チームが真のインシデントに集中できることを示しています。これらの改善は、より早い対応時間と全体的な運用効率の向上に直接つながる可能性があります。

ミュートルール基準の精緻化または拡張

結果に基づいて、特定のミュートルールを拡張するか、絞り込む必要があるか判断します。しきい値またはエンティティの範囲を調整することは、アラートカバレッジの最適化を継続的に保証します。時間の経過とともに、この反復的なアプローチは、強固なセキュリティ姿勢を維持しながらノイズを削減する持続可能なフレームワークを構築します。