测试自身网络
Data Theorem的COO Doug Dooley表示,比起处理误报,SOC分析师通常更厌倦于追踪影响力较低的安全警报。这种情况可能会出现在,例如当安全团队没法专注于处理那些对业务有重大影响的问题,而是被组织起来寻找在生产应用程序中可能都不会被用到的代码的质量问题时。”secops团队很容易被非关键任务警报所困扰,而这些警报被不公平地归类为’误报’。”Dooley说。
只有当安全团队与业务领导密切合作时,他们才能过滤掉干扰因素,专注到真正重要的事情上。“如果你流行最广的移动应用的数据泄露可能会严重损害你的品牌,降低你的股价,并让你失去客户,那么你就该把关注应用程序堆栈中的可利用漏洞设为高业务优先级。”
Dooley建议企业不要把注意力放在理论攻击和情景上,而是在自己的系统上进行漏洞测试,以验证是否存在任何可以被破坏的、可利用的漏洞。他说,这种测试和验证可以在安全运营团队和DevOps团队之间建立信任和可靠性。
保持良好的记录和指标
保留白费力气的搜索调查记录是减少这种情况再次发生的好方法。为了改进检测和调整警报,SOC 需要从可操作信号中滤除干扰信号,这就需要企业拥有可以回顾和学习的数据。
Vectra的Wade说:“在一个时间、资源和注意力都有限的世界里,每当我们把精力花在一个误报上时,企业就会产生一个可操作的信号被忽视的风险。SOC需要保持有效的调查记录和指标,以不断提高检测工程的工作效率,这一点再怎么强调也不为过。” 不幸的是,对于许多SOC团队来说,这种改善进程所必需的长期规划工作往往会被当下的混乱问题所耽误。
仅靠自动化是不够的
自动化如果实施得当,可以帮助解决现代 SOC 中的警报过载和技能短缺的问题。但是,企业需要技术熟练的员工,或者能从例如托管服务提供商那里得到人才帮助,才能充分利用自动化技术。
Invicti首席产品官Sonali Shah表示,团队人工确认每个漏洞需要一小时,于是他们每年可能需要花费高达10000个小时来处理误报。然而,在Invicti的调查中,超过四分之三的受访者表示他们总是或经常手动验证漏洞。在这种情况下,集成在现有工作流中的自动化可以帮助解决与误报相关的困难。
S&P全球市场情报分析师Daniel Kennedy表示,为了充分利用这项技术,SOC需要能够调整日志和检测工具,并开发能将供应商的工具整合在一起的脚本或定制工具。Kennedy说:“那些能随着时间的推移,掌握企业技术特性中的自定义特性的操作人员尤其有用。他们可以通过检查每日报告的模式、开发剧本、调整供应商工具和引入适当级别的自动响应来帮助SOC节省时间。”
Deep Instinct的Everette表示,必须调整警报、事件和日志。主题专家必须对系统进行配置,以确保只有高保真警报能被呈现出来,并设置相应的事件触发器,以确保在需要时提高响应的优先级。为了有效地做到这一点,企业必须关联和分析来自如安全日志、事件和威胁数据等多个来源的数据。Everette说,安全警报工具“不是一成不变的机制”。为了最大限度地利用警报工具,SOC需要伺机而动,扩大和增强每个工具的功能,以减少误报的数量并提高其整体安全态势的有效性。
作者:Jaikumar Vijayan是一位自由技术作家,专门研究计算机安全和隐私主题。
原文网址:
为什么我电脑老显示安全警报?
1:开始/控制面板/windows安全警报,在左上边最底下的一行“更改‘安全中心’通知我的方式”,把防火墙、病毒保护前面的勾都去掉,就可以了!
2:把防火墙关了。 开始--设置--控制面板---安全中心-----关闭防火墙。 防火墙没什么用处,大多数都是关了的。
『IM QQ』团队 乄∨iP╭蟲兒 真诚为您服务如果问题解决了 麻烦您给个好评!谢谢支持~
怎么样关闭系统托盘里的Window安全警报
在服务里关闭 方法如下: 打开“控制面板” 打开“管理工具” 打开“服务” 找到名为“Security Center”的服务 双击这个服务,打开属性设置。 把启动类型设置为”已禁用”,然后点服务状态下的“停止”按纽停止这个服务。 最后点确定退出。 windowsXP的安全中心完全是个毫无价值的功能,经常发出没有意义的警报。 杀毒程序你自己可以安装,防火墙也可以自己安装,根本不需要它来提醒你,禁用这个功能可以提高你机器的性能。 此外,安全更新也是WINDOWSXP的陷阱,如果你是盗版,如果你用了安全更新,那么微软会让你无法进入系统。 建议在服务里一并关闭“安全更新”,服务名称为“Automatic Updates”,关闭方法和上面说的一样。
怎么把windows安全警报图标去掉?
打开控制面板,找到安全中心,双击进去。 在安全中心有一个《更改“安全中心”通知我的方式》把三项前面的勾去掉,就不再通知你了。
发表评论