Эта статья предоставляет рекомендации по идентификации XOps историй, которые могут быть отключены для снижения усталости от историй.
XOps предоставляет расширенную видимость и контроль над событиями безопасности через Рабочую область Историй. Однако чрезмерные или повторяющиеся оповещения могут перегружать команды безопасности и скрывать реальные угрозы, вызов, известный как усталость от оповещений. Когда аналитики сталкиваются с большими объемами историй, включая уведомления низкой ценности или дублирование, они рискуют пропустить критические инциденты, которые требуют немедленного внимания.
Рекомендации в этой статье помогают идентифицировать истории, которые не требуют генерации и создавать правила Отключенные Истории, которые помогают оптимизировать управление оповещениями. Таким образом, организации могут сохранять внимание на историях с высоким приоритетом, снижая ненужный шум.
Вы можете затем заметить воздействие этих изменений, сравнивая объемы оповещений, изучая нагрузку аналитиков и подтверждая, что никакие критические обнаружения не были случайно отключены, обеспечивая, что сокращение оповещений улучшает эффективность без ущерба безопасности.
Это некоторые примеры историй, которые могут быть отключены для снижения усталости от историй. Эти передовые методы рекомендуются на основе опыта Cato. Однако они не обязательны, и вы можете отключать любые истории, которые не являются релевантными или полезными для процесса сортировки вашей организации.
Гостевые сети обычно представляют собой изолированные среды, предназначенные для посетителей или временного доступа. Активность в этих сетях часто включает обычный просмотр, обновления или законные внешние коммуникации, которые могут напоминать поведение на уровне низкой угрозы. Фильтруя или отключая истории, генерируемые из гостевых сетей, вы можете уменьшить количество историй без ущерба для видимости в управляемой корпоративной среде.
Чтобы отключить истории, происходящие из вашей гостевой сети, создайте правило Отключенные Истории и установите Источник на диапазон IP вашей гостевой сети.
Неуправляемые устройства, такие как принадлежащие сотрудникам смартфоны или планшеты, не контролируются централизованно или мониторятся инструментами корпоративной безопасности. Эти конечные точки могут генерировать истории, которые кажутся аномальными, просто потому что они работают за пределами базовой безопасности организации. Идентификация и подавление историй от таких устройств гарантирует, что аналитики тратят время на истории, связанные с управляемыми, более ценными активами.
Чтобы отключить истории, происходящие от неуправляемого мобильного устройства, создайте правило Отключенные Истории и установите Устройство на iOS и Android.
Платформы тестирования безопасности или внутренние инструменты красной команды часто имитируют атаки для проверки устойчивости системы. Эти действия могут создавать предсказуемые, повторяющиеся истории, загромождающие вид анализа. Признавая и отключая истории, связанные с запланированными тестами, команды могут предотвращать ложные срабатывания, сохраняя обзор реальной активности угроз.
Чтобы отключить истории, вызванные тестированием на проникновение или инструментом оценки безопасности, создайте правило Отключенные Истории и установите Источник как пользователя, запускающего тесты, или IP сканера безопасности в вашей сети.
Через месяц пересмотрите эффективность ваших правил отключения и процесса настройки оповещений в целом, чтобы убедиться, что объем историй уменьшился без потери видимости значимых угроз. Для поддержания этой проверки вы можете установить дату истечения срока на правила отключения историй. Правило применяется только в рамках определенного временного интервала, помогая подтвердить, что оно не слишком широкое или случайно не подавляет важные оповещения. Как только вы уверены в его точности, вы можете продлить срок действия правила или сделать его постоянным частью вашего текущего рабочего процесса настройки.
Отслеживайте общее количество историй, генерированных до и после внедрения правил отключения. Значительное сокращение количества историй с низкими рисками или повторяющихся указывает на то, что фильтры работают как задумано. Эти данные также могут выделить области, где может потребоваться дополнительная настройка для поддержания баланса между сокращением оповещений и видимостью.
Оцените, сколько времени администраторы или аналитики тратят на исследование новых историй. Замечательное уменьшение времени сортировки предполагает, что меньшая часть ложных срабатываний выявляется, позволяя командам сосредоточиться на подлинных инцидентах. Эти улучшения могут напрямую привести к более быстрому времени реагирования и более высокой общей операционной эффективности.
На основе результатов определите, могут ли быть расширены или должны быть сокращены определенные правила отключения. Корректировка порогов или область сущностей обеспечивает постоянную оптимизацию охвата оповещений. Со временем этот повторяющийся подход строит устойчивую основу для уменьшения шума при сохранении сильной безопасности.
0 комментариев
Статья закрыта для комментариев.