减少运作事件疲劳

本文提供了识别可以静音的XOps事件建议，以减少事件疲劳。

概览

XOps通过事件工作台提供对安全事件的高级可见性和控制。然而，过多或重复的警报可能会使安全团队不堪重负，并掩盖真正的威胁，这一挑战被称为警报疲劳。当分析师面临大量事件时，包括低价值或冗余通知，他们可能会忽略需要立即关注的关键事件。

本文中的建议有助于识别不需要生成的事件，并创建静音事件规则，从而帮助简化警报管理。通过这样做，组织可以专注于高优先级事件，同时减少不必要的噪音。

然后，您可以通过比较警报数量、审查分析员的工作量，以及确认没有严重检测被错误静音，来注意这些变化的影响，确保减少警报提高效率而不牺牲安全可见性。

识别需静音事件

这是一些可以静音以减少事件疲劳的事件示例。这些最佳实践是基于Cato的经验推荐的。然而，它们不是强制性的，您可以静音任何对贵组织的分类流程无关或无益的事件。

源自访客网络的事件

访客网络通常是为访客或临时访问而设计的隔离环境。这些网络上的活动通常包括例行浏览、更新或看似低级威胁行为的合法外部通信。通过过滤或静音访客网络生成的事件，您可以减少事件数量而不影响管理的公司环境的可见性。

要静音来自您的访客网络的事件，可以创建一个静音事件规则，并将来源设置为您的访客网络的IP范围。

源自未管理移动设备的事件

未管理设备，例如员工拥有的智能手机或平板电脑，不由公司安全工具进行集中控制或监控。这些端点可能会产生看似异常的事件，仅仅因为它们在组织的安全基线之外运行。识别和抑制来自这些设备的事件可确保分析师专注于与管理的高价值资产相关的事件。

要静音源自未管理移动设备的事件，可以创建一个静音事件规则，并将设备设置为iOS和Android。

由渗透测试或安全评估工具触发的事件

安全测试平台或内部红队工具通常模拟攻击以验证系统弹性。这些操作可能产生可预测的重复事件，影响分析视图的整洁。通过识别并静音与计划测试相关的事件，团队可以防止误报，同时保持对真实世界威胁活动的监督。

要静音由渗透测试或安全评估工具触发的事件，可以创建一个静音事件规则，并将来源设置为运行测试的用户或网络中的安全扫描仪的IP。

测量影响

一个月后，审查静音规则和整体警报调节过程的有效性，以确保事件数量减少而不失去对有意义威胁的可见性。为了支持这一验证，您可以为静音事件规则设置到期日期。规则仅在定义的时间框架内适用，帮助您确认规则不会太宽泛或无意中抑制重要警报。一旦您对其准确性有信心，可以延长规则的到期日期或将其永久化，作为您持续调节工作流程的一部分。

比较总事件与静音事件的数量

跟踪在实施静音规则之前和之后生成的事件总数。低风险或重复事件的大幅减少表明过滤器按预期工作。这些数据还可以突出显示需要额外微调的领域，以在减少警报与可见性之间保持平衡。

审查分析师工作负荷和事件分类时间

评估管理员或分析师用于调查新事件的时间。分类时间的明显减少表明误报减少，使团队能够专注于实际事件。这些改进可以直接转化为更快的响应时间和更高的整体运营效率。

细化或扩展静音规则标准

根据结果，确定某些静音规则是否可以扩展或需要缩小。调整阈值或实体范围可确保警报覆盖的持续优化。随着时间的推移，这种迭代方法构建了一个可持续的框架，用于在保持强大的安全姿势的同时减少噪音。