什么是網絡警報疲勞

網絡警報疲勞指的是安全團隊收到了過量的安全警報導致對警報的敏感度和響應能力下降。意味著團隊會錯過關鍵警報，而且這種心態下的SOC（安全運營中心）的響應時間也會變慢。警報疲勞會降低平均響應時間，這是公司用來衡量安全計劃成功與否的主要指標之一，這種能力下降會對安全計劃的有效性產生負面影響。網絡警報疲勞會使分析師收到的大量警報都是低或中等嚴重性，導致他們對警報變得更加寬容。

緩解網絡警報疲勞的措施有以下這些：

• 可操作的警報：減少警報疲勞的第一步是確保所有警報都是可操作的。沒有什么比發現您的SOC人員花費大量時間來關閉不可操作的警報更糟糕的了。盡管這似乎是一個小問題，但分析師可能需要30分鐘以上的時間來審查和調查警報，然后才能確定是否需要采取措施來解決它。有時，他們甚至可能需要聯系其他團隊成員或IT人員，這會導致額外的時間浪費。

• 警報優先級矩陣：優先級矩陣（也稱為事件優先級矩陣或事件評分系統）可顯著減少優先級警報（嚴重和高危），減少工作時間和非工作時間的警報。因此，盡管開發優先級矩陣需要時間并且必須進行定期審查，但絕對值得投入。設計優先級矩陣的方法有，但通常都是根據所涉及的系統和用戶（的級別和規模）來確定安全事件的嚴重性和關鍵程度。例如，如果SOC在5分鐘內收到超過20個網絡釣魚警報，則其優先級顯然要高于針對單個用戶的網絡釣魚警報。

• 使用閾值：如前所述，單次事件可能被視為低危或中危，但如果該事件連續發生或在指定時間范圍內多次發生，團隊可能會決定配置讓其觸發警報。使用閾值檢測多次出現的可疑行為有助于顯著減少SIEM（安全信息和事件管理）生成的低優先級警報和誤報的數量。通常，企業不愿設置閾值是因為害怕錯過重要的檢測。如果團隊認同單次或兩次事件的發生是良性的，隨后合作定義了需要介入調查的發生次數，他們可以據此實施閾值并根據需要進行調整。這種做法使團隊對警報的必要性達成共識的同時，能夠設置合適的檢測/預防閾值，提高警報的價值。

• 自動化：自動化是網絡安全行業的一個流行詞，也是減少警報疲勞的主要方法之一。安全程序可以各種方式實現自動化。對于初級用戶，它可以自動關閉低優先級警報。通常，安全團隊出于審計目的需要某些警報，因此數據可用于臨時或計劃的審查，但不想查看每個單獨的警報。在這些情況下，自動關閉警報是有意義的，可以為SOC團隊成員節省一點時間。

• 持續審查和改進：處理良性警報和誤報最簡單的方法是關閉它們。安全人員應該不斷質疑那些看上去是警報實際上是信息的“警報”的價值，探究為什么會收到如此多的誤報，等等。提出這些問題并要求其他團隊成員和領導層共同參與回答這些問題，就相關警報的必要性或調整方式開展更積極，更有價值的討論。

回答所涉及的環境：聯想天逸510S、Windows 10。