如何協助 SOC 分析師破除「警示麻痺」

This post is also available in: English (英語) 简体中文 (簡體中文) 日本語 (日語) 한국어 (韓語) Português (葡萄牙語（巴西）)

Palo Alto Networks 的調查數據顯示，對於安全工具產生的警示，SOC 分析師只能處理其中的 14%。將顯示大部份警示的 IDC 數據視為誤判時，[1] 自然會出現下列想當然發生的結果：忽視警示，分析師浪費時間追蹤虛假線索，遺漏實際威脅。

除了初始防禦之外，大部份安全工具都能夠執行一項關鍵功能：建立和回應警示。可預期的假設是，分析師將根據這些警示審查並捕捉任何可疑行為。不過，如果分析師每天收到數以千計的低真實性警示，這種策略很快就會失效。

警示麻痺減少檢查清單

如果沒有產生警示的感測器和系統，就會產生安全盲點 - 不過資訊過多和沒有資訊同樣糟糕。我們仍然需要警示，但我們需要的是更為準確的警示。這表示，在考慮工具和流程時，可涵蓋下列概念：

1.自動化

首先，組織可以使用自動化大幅改善警示分類流程。Palo Alto Networks 認為，所有第 1 層級 (警示分類) 安全作業都可以而且應該使用 SOAR 技術實現自動化，這項技術使用預先定義的腳本來自動執行回應動作。對於警示分類，這些動作包括分析警示、更新案例 (如果是已知問題)、開啟案例 (如果不是已知問題)，然後對警示的嚴重性分類以便傳送給分析師。此流程的自動化可大幅減少分析師必須回應的警示數量，分析師便可以將寶貴的時間用來調查問題，而不是緊盯日誌。

2.數據整合

其次，如果想要提高可視性，安全團隊必須開始優先考慮整合工具，而摒棄孤立的工具。如果您有七種不同的工具，每種工具都只能查看安全基礎架構的特定部份，而且不能相互通訊，則這些工具將無法提供有助於威脅捕捉和調查的脈絡。您無法得知看似無害的一系列動作實際上是否在您的系統中按照順序執行而構成某種攻擊活動。或者，您可能花費需要一小時追蹤躲過 EPP 的惡意軟體，不過卻發現該軟體已經由防火牆阻止。

3.機器學習

最後，EDR 工具應該具備機器學習功能，允許識別模式，藉此進行學習和改進。您的 EDR 應該從數據來源中獲取資訊，持續調整演算法，最終產生高真實性、優先處理的特定警示。

Cortex XDR 提供更有智慧的偵測

Cortex XDR 已經證明能夠提供最多的高真實性警示，這些警示對於識別威脅最實用，而且提供多樣化的相關遙測日誌，適用於調查和威脅捕捉。這些類型的警示可以協助組織阻止大量誤判，以便分析師可以專注於調查真正的威脅。

使用 APT 3 群組提供的真實攻擊模擬並透過 MITER ATT&CK 進行的 EDR 工具測試最近發現，Cortex XDR 和 Traps 偵測到 10 個端點偵測與回應廠商的大部份攻擊技術。這項評估對 EDR 市場真實功能和效能，提供了業界首次公開客觀的評量。