随着公司的发展,它需要越来越多的工具,而工具越多,警报和流程中断的次数就越多。很快,各个系统和工具的提示音就如同一场喧闹的酒会,大家议论纷纷。因此,安全和运营团队对警报越来越不敏感,甚至系统标记的真正异常活动也有可能因警报疲劳而被驳回。你需要的是一个警笛合唱团,所有的人都和谐地工作,只有当真实事件发生时才会发出高音。那么你如何到达那里?ThreatStack工程副总裁ChrisJervis和VictorOps提供了七种避免警报疲劳的方法。1.使所有警报都符合情境且可操作筛选不符合情境和毫无意义的警报以确定行动方案是一件令人精疲力尽的事情。有效的警报需要两个关键属性:上下文:从整个系统的匹配数据点到绘制完整的图片,包括运行手册、图表、日志、注释以及与解决问题相关的任何其他详细信息。来源详细信息:指出问题的来源和系统中任何其他受影响的区域,以便解决根本原因。2.减少冗余警报显然,针对同一个问题一遍又一遍地发出警报是没有效率的,尤其是当这个问题甚至不被称为问题时。这是导致警报疲劳的最大因素之一。无论警报是来自日常工程工作还是来自第三方应用程序的不必要警报都无关紧要:这些实例都会导致警报疲劳。微调每个工具的警报协议可以减少和整合警报。更好的是,将所有安全功能整合到一个平台中可以统一警报配置和生成。3.为警报指定单一来源或时间线每个工具都会发送自己的警报(很可能直接发送到您的收件箱),这使得很难连接点以找到真正的问题-即使在邮件堆中也要注意这些警报。不能将电子邮件警报作为单一的真实来源。拥有像Slack这样的开放式沟通渠道要好得多,它可以无缝地提供警报,提供团队范围内的可见性,并允许公开讨论来解决问题。将安全功能(威胁情报、漏洞管理、AmazonCloudTrail等)无缝集成到单一平台,同时统一安全警报。4.调整异常检测阈值在日常的忙碌中,许多团队忘记了定期微调他们的基线。这会导致更多无用的警报,进一步加剧警报疲劳。解决嘈杂的警报是一个好的开始,但更好的解决方案是使用随着时间的推移从系统基线中学习的工具,并且可以随着公司的发展进行自我调整,从而使安全团队不必进行手动调整。5.确保警报发送给正确的人/团队随着团队的成长,另一个问题是确保团队中的每个人都能收到适当的警报以采取行动。作为持续改进过程的一部分,让每个团队成员决定他们接收警报的方式、频率和主题。6.定制化的个人通知/寻呼工程师和运营人员在深夜被叫去处理一点都不严重的警报已经司空见惯。这不仅会让团队疲惫不堪,甚至会不信任白天的警报!因此,请确保只有高严重性警报会触发“深夜呼叫”。所有其他警报可以等到第二天早上。7.定期检讨及调整以上6项建议,不应一次性完成;您必须定期重新访问以确保系统正常运行。以下是在事后分析和定期团队会议期间应该向团队提出的几个问题:团队是否知道警报SNR调整?警报微调是持续改进过程的一部分吗?团队有权组织他们的工作警报疲劳的优先级排序和处理是否与相关因素有关?升级过程是否明智且有效?是否可以将更多数据集成到警报中,为决策制定提供适当的背景信息?
