Усталость от оповещений
Что такое Усталость от оповещений?
Усталость от оповещенийСнижение внимательности аналитиков из-за избыточных, малозначимых или повторяющихся оповещений, замедляющее реальное реагирование.
Усталость от оповещений возникает, когда SOC получает больше алертов, чем способна осмысленно разобрать команда, при высокой доле ложных срабатываний и дубликатов. Со временем аналитики начинают рефлекторно закрывать оповещения пачками, повышая риск пропустить настоящий инцидент или среагировать слишком поздно. Причины — шумные правила, слабые базовые линии, слишком широкие сигнатуры, отсутствие обогащения, перекрытие инструментов. Меры — настройка правил, дедупликация, скоринг на основе риска, автоматизация через SOAR, удаление малополезных детектов и отслеживание метрик «сигнал к шуму».
● Примеры
- 01
Аналитики автоматически закрывают оповещения о brute-force, потому что 99% — шум интернет-сканеров.
- 02
Шквал дублирующихся алертов EDR после развертывания ПО скрывает реальный сигнал о латеральном перемещении.
● Частые вопросы
Что такое Усталость от оповещений?
Снижение внимательности аналитиков из-за избыточных, малозначимых или повторяющихся оповещений, замедляющее реальное реагирование. Относится к категории Защита и операции в кибербезопасности.
Что означает Усталость от оповещений?
Снижение внимательности аналитиков из-за избыточных, малозначимых или повторяющихся оповещений, замедляющее реальное реагирование.
Как защититься от Усталость от оповещений?
Защита от Усталость от оповещений обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Усталость от оповещений?
Распространённые альтернативные названия: Усталость от уведомлений, Усталость от тревог.