Este artigo fornece recomendações para identificar histórias de XOps que podem ser silenciadas para reduzir a fadiga de histórias.
XOps oferece visibilidade e controle avançados sobre eventos de segurança através da Bancada de Trabalho de Histórias. No entanto, alertas excessivos ou repetitivos podem sobrecarregar as equipes de segurança e obscurecer ameaças genuínas, um desafio conhecido como fadiga de alerta. Quando os analistas enfrentam grandes volumes de histórias, incluindo notificações de baixo valor ou redundantes, correm o risco de negligenciar incidentes críticos que requerem atenção imediata.
As recomendações neste artigo ajudam a identificar histórias que não precisam de geração de histórias e criam regras de Histórias Silenciadas que ajudam a simplificar o gerenciamento de alertas. Ao fazer isso, as organizações podem manter o foco nas histórias de alta prioridade enquanto reduzem o ruído desnecessário.
Você pode então notar o impacto dessas mudanças comparando volumes de alertas, revisando a carga de trabalho dos analistas e confirmando que nenhuma detecção crítica foi inadvertidamente silenciada, garantindo que a redução de alertas melhore a eficiência sem sacrificar a visibilidade da segurança.
Estes são alguns exemplos de histórias que podem ser silenciadas para reduzir a fadiga de histórias. Essas melhores práticas são recomendadas com base na experiência da Cato. No entanto, elas não são obrigatórias, e você pode silenciar quaisquer histórias que não sejam relevantes ou úteis para o processo de triagem da sua organização.
Redes de convidados são geralmente ambientes isolados projetados para visitantes ou acesso temporário. A atividade nessas redes geralmente inclui navegação rotineira, atualizações ou comunicações externas legítimas que podem se assemelhar a comportamentos de ameaças de baixo nível. Filtrando ou silenciando histórias geradas a partir de redes de convidados, você pode reduzir o número de histórias sem comprometer a visibilidade no ambiente corporativo gerenciado.
Para silenciar histórias originárias de sua rede de convidados, crie uma regra de Histórias Silenciadas e defina a Fonte para o intervalo de IP da sua rede de convidados.
Dispositivos não gerenciados, como smartphones ou tablets de propriedade dos funcionários, não são controlados ou monitorados centralmente pelas ferramentas de segurança corporativa. Esses endpoints podem gerar Histórias que parecem anômalas simplesmente porque operam fora da base de segurança da organização. Identificar e suprimir histórias desses dispositivos garante que os analistas gastem tempo em Histórias ligadas a ativos gerenciados e de maior valor.
Para silenciar Histórias originárias de um dispositivo móvel não gerenciado, crie uma regra de Histórias Silenciadas e defina o Dispositivo para iOS e Android.
Plataformas de teste de segurança, ou ferramentas internas de equipe vermelha, frequentemente simulam ataques para validar a resiliência do sistema. Essas ações podem produzir histórias previsíveis e repetitivas que desordenam a visualização de análise. Reconhecendo e silenciando histórias associadas a testes agendados, as equipes podem evitar falsos positivos enquanto mantêm a supervisão de atividades de ameaças do mundo real.
Para silenciar histórias que são disparadas por testes de penetração ou uma ferramenta de avaliação de segurança, crie uma regra de Histórias Silenciadas e defina a Fonte como o usuário executando os testes ou o IP do scanner de segurança na sua rede.
Após um mês, revise a eficácia de suas regras de silêncio e o processo geral de ajuste de alertas para garantir que o volume de histórias tenha diminuído sem perder a visibilidade de ameaças significativas. Para apoiar essa validação, você pode definir uma data de expiração nas regras de histórias silenciadas. A regra se aplica apenas dentro do prazo definido, ajudando-o a confirmar que ela não é muito ampla ou não está suprimindo inadvertidamente alertas importantes. Uma vez que você esteja confiante em sua precisão, pode estender a expiração da regra ou torná-la permanente como parte do seu fluxo de trabalho de ajuste contínuo.
Accompanha o número total de histórias geradas antes e depois de implementar as regras de silêncio. Uma redução significativa em histórias de baixo risco ou repetitivas indica que os filtros estão funcionando conforme o esperado. Esses dados também podem destacar áreas onde ajustes adicionais podem ser necessários para manter o equilíbrio entre a redução de alertas e visibilidade.
Avalie quanto tempo administradores ou analistas passam investigando novas histórias. Uma diminuição notável no tempo de triagem sugere que menos falsos positivos estão sendo apresentados, permitindo que as equipes se concentrem em incidentes genuínos. Essas melhorias podem se traduzir diretamente em tempos de resposta mais rápidos e maior eficiência operacional geral.
Com base nos resultados, determine se certas regras de silêncio podem ser ampliadas ou precisam ser restringidas. Ajustar limiares ou escopos de entidades garante a otimização contínua da cobertura de alertas. Ao longo do tempo, essa abordagem iterativa constrói uma estrutura sustentável para reduzir o ruído enquanto se preserva uma postura forte de segurança.
0 comentário
Artigo fechado para comentários.