Усталость от оповещений
Что такое Усталость от оповещений?
Усталость от оповещенийСнижение внимательности аналитиков из-за избыточных, малозначимых или повторяющихся оповещений, замедляющее реальное реагирование.
Усталость от оповещений возникает, когда SOC получает больше алертов, чем способна осмысленно разобрать команда, при высокой доле ложных срабатываний и дубликатов. Со временем аналитики начинают рефлекторно закрывать оповещения пачками, повышая риск пропустить настоящий инцидент или среагировать слишком поздно. Причины — шумные правила, слабые базовые линии, слишком широкие сигнатуры, отсутствие обогащения, перекрытие инструментов. Меры — настройка правил, дедупликация, скоринг на основе риска, автоматизация через SOAR, удаление малополезных детектов и отслеживание метрик «сигнал к шуму».
● Примеры
- 01
Аналитики автоматически закрывают оповещения о brute-force, потому что 99% — шум интернет-сканеров.
- 02
Шквал дублирующихся алертов EDR после развертывания ПО скрывает реальный сигнал о латеральном перемещении.
● Частые вопросы
Что такое Усталость от оповещений?
Снижение внимательности аналитиков из-за избыточных, малозначимых или повторяющихся оповещений, замедляющее реальное реагирование. Относится к категории Защита и операции в кибербезопасности.
Что означает Усталость от оповещений?
Снижение внимательности аналитиков из-за избыточных, малозначимых или повторяющихся оповещений, замедляющее реальное реагирование.
Как работает Усталость от оповещений?
Усталость от оповещений возникает, когда SOC получает больше алертов, чем способна осмысленно разобрать команда, при высокой доле ложных срабатываний и дубликатов. Со временем аналитики начинают рефлекторно закрывать оповещения пачками, повышая риск пропустить настоящий инцидент или среагировать слишком поздно. Причины — шумные правила, слабые базовые линии, слишком широкие сигнатуры, отсутствие обогащения, перекрытие инструментов. Меры — настройка правил, дедупликация, скоринг на основе риска, автоматизация через SOAR, удаление малополезных детектов и отслеживание метрик «сигнал к шуму».
Как защититься от Усталость от оповещений?
Защита от Усталость от оповещений обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Усталость от оповещений?
Распространённые альтернативные названия: Усталость от уведомлений, Усталость от тревог.
● Связанные термины
- defense-ops№ 406
Ложноположительное срабатывание
Оповещение, ошибочно квалифицирующее нормальную активность как вредоносную, расходующее время аналитиков и подрывающее доверие к правилу.
- defense-ops№ 405
Ложноотрицательное срабатывание
Вредоносная активность, которую средство обнаружения не пометило: угроза остаётся незамеченной, и атакующий продолжает действовать без оповещений.
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 1062
SOAR
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.
- defense-ops№ 307
Detection engineering
Дисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника.