Alert-Fatigue
Was ist Alert-Fatigue?
Alert-FatigueAbstumpfung von Analysten durch zu viele, gering wertvolle oder wiederkehrende Alarme, die Aufmerksamkeit mindert und echte Reaktionen verzoegert.
Alert-Fatigue entsteht, wenn ein SOC mehr Alarme erhaelt, als das Team sinnvoll untersuchen kann, und ein hoher Anteil Falsch-Positive oder Duplikate ist. Mit der Zeit entwickeln Analysten Reflexe, Alarme schnell zu schliessen oder gesammelt abzuarbeiten, was das Risiko erhoeht, dass ein echter Treffer uebersehen oder zu spaet bearbeitet wird. Ursachen sind verrauschte Regeln, schwache Baselines, zu breite Signaturen, fehlende Anreicherung und ueberlappende Werkzeuge. Gegenmittel sind Tuning, Deduplizierung, risikobasiertes Scoring, Automatisierung per SOAR, Entfernen geringwertiger Detections und das Messen des Signal-Rausch-Verhaeltnisses.
● Beispiele
- 01
Analysten schliessen Brute-Force-Alarme automatisch, weil 99 Prozent Scanner-Rauschen aus dem Internet sind.
- 02
Eine Flut doppelter EDR-Alarme nach einem Software-Rollout begraebt eine echte Lateral-Movement-Detection.
● Häufige Fragen
Was ist Alert-Fatigue?
Abstumpfung von Analysten durch zu viele, gering wertvolle oder wiederkehrende Alarme, die Aufmerksamkeit mindert und echte Reaktionen verzoegert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Alert-Fatigue?
Abstumpfung von Analysten durch zu viele, gering wertvolle oder wiederkehrende Alarme, die Aufmerksamkeit mindert und echte Reaktionen verzoegert.
Wie funktioniert Alert-Fatigue?
Alert-Fatigue entsteht, wenn ein SOC mehr Alarme erhaelt, als das Team sinnvoll untersuchen kann, und ein hoher Anteil Falsch-Positive oder Duplikate ist. Mit der Zeit entwickeln Analysten Reflexe, Alarme schnell zu schliessen oder gesammelt abzuarbeiten, was das Risiko erhoeht, dass ein echter Treffer uebersehen oder zu spaet bearbeitet wird. Ursachen sind verrauschte Regeln, schwache Baselines, zu breite Signaturen, fehlende Anreicherung und ueberlappende Werkzeuge. Gegenmittel sind Tuning, Deduplizierung, risikobasiertes Scoring, Automatisierung per SOAR, Entfernen geringwertiger Detections und das Messen des Signal-Rausch-Verhaeltnisses.
Wie schützt man sich gegen Alert-Fatigue?
Schutzmaßnahmen gegen Alert-Fatigue kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Alert-Fatigue?
Übliche alternative Bezeichnungen: Benachrichtigungs-Muedigkeit, Alarm-Muedigkeit.
● Verwandte Begriffe
- defense-ops№ 406
False Positive
Sicherheitsalarm, der harmlose Aktivitaeten als boesartig kennzeichnet, Analystenzeit kostet und das Vertrauen in die Detection schwaecht.
- defense-ops№ 405
False Negative
Boesartige Aktivitaet, die eine Detection nicht erkannt hat, sodass die Bedrohung unbemerkt bleibt und der Angreifer unbehelligt weiterarbeiten kann.
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- defense-ops№ 1062
SOAR
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
- defense-ops№ 307
Detection Engineering
Disziplin, Sicherheits-Detections wie Code zu entwerfen, zu testen, auszurollen und zu pflegen, mit messbarer Abdeckung gegnerischer Techniken.