Entry № 041
告警疲劳
告警疲劳 是什么?
告警疲劳由过多、低价值或重复告警造成的分析人员注意力下降,导致真正的事件响应被延误。
当 SOC 收到的告警数量超过团队能够认真分析的能力,且其中大量为误报或重复时,就会出现告警疲劳。久而久之,分析人员会形成快速关闭或批量处理告警的习惯,从而增大真正的攻击被忽视或延迟响应的风险。常见原因包括检测规则噪声大、基线脆弱、签名过宽、缺乏富化以及工具职责重叠。应对方法包括调优告警、去重、基于风险评分、通过 SOAR 自动化、删除低价值检测,并跟踪信噪比指标,以让管理层优先保证质量而非数量。
● 示例
- 01
分析人员自动关闭暴力破解告警,因为 99% 来自互联网扫描器噪声。
- 02
软件升级后 EDR 出现大量重复告警,淹没了一次真实的横向移动检测。
● 常见问题
告警疲劳 是什么?
由过多、低价值或重复告警造成的分析人员注意力下降,导致真正的事件响应被延误。 它属于网络安全的 防御与运营 分类。
告警疲劳 是什么意思?
由过多、低价值或重复告警造成的分析人员注意力下降,导致真正的事件响应被延误。
告警疲劳 是如何工作的?
当 SOC 收到的告警数量超过团队能够认真分析的能力,且其中大量为误报或重复时,就会出现告警疲劳。久而久之,分析人员会形成快速关闭或批量处理告警的习惯,从而增大真正的攻击被忽视或延迟响应的风险。常见原因包括检测规则噪声大、基线脆弱、签名过宽、缺乏富化以及工具职责重叠。应对方法包括调优告警、去重、基于风险评分、通过 SOAR 自动化、删除低价值检测,并跟踪信噪比指标,以让管理层优先保证质量而非数量。
如何防御 告警疲劳?
针对 告警疲劳 的防御通常结合技术控制与运营实践,详见上方完整定义。
告警疲劳 还有哪些其他名称?
常见的别称包括: 通知疲劳, 警报疲劳。