{"id":101510,"date":"2019-08-20T21:17:07","date_gmt":"2019-08-21T04:17:07","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=101510"},"modified":"2022-04-06T23:21:56","modified_gmt":"2022-04-07T06:21:56","slug":"help-soc-analysts-fight-alert-fatigue","status":"publish","type":"post","link":"https:\/\/www2.paloaltonetworks.com\/blog\/2019\/08\/help-soc-analysts-fight-alert-fatigue\/?lang=pt-br","title":{"rendered":"Como ajudar os analistas do SOC a lutarem contra a \"fadiga de alertas\""},"content":{"rendered":"

Os dados da pesquisa da Palo Alto Networks mostram que os analistas do SOC s\u00f3 est\u00e3o aptos a lidar com 14% dos alertas gerados pelas ferramentas de seguran\u00e7a. Quando voc\u00ea considera os dados IDC que mostram que a maioria dos alertas s\u00e3o falso-positivos, [1]<\/a> os resultados s\u00e3o previs\u00edveis: os alertas s\u00e3o ignorados, os analistas perdem tempo seguindo pistas falsas e as amea\u00e7as reais s\u00e3o perdidas.\u00a0\"\"<\/strong><\/p>\n

Al\u00e9m da preven\u00e7\u00e3o inicial, a maioria das ferramentas de seguran\u00e7a s\u00e3o desenvolvidas para realizar uma fun\u00e7\u00e3o chave: criar e responder a alertas. A suposi\u00e7\u00e3o otimista \u00e9 que os analistas ir\u00e3o analisar e detectar comportamentos suspeitos com base em tais alertas. Mas essa estrat\u00e9gia cai por terra rapidamente quando os analistas come\u00e7am a receber centenas de alertas de baixa-fidelidade por dia.<\/p>\n

 <\/p>\n

Lista de verifica\u00e7\u00e3o da redu\u00e7\u00e3o da fadiga de alertas<\/strong><\/p>\n

Se eliminarmos os sensores e sistemas que geram alarmes, criamos pontos cegos na seguran\u00e7a (ainda que muita informa\u00e7\u00e3o seja t\u00e3o ruim quanto nenhuma informa\u00e7\u00e3o). Precisamos de alertas, mas precisamos de alertas mais precisos. <\/strong>Isso implica na ado\u00e7\u00e3o dos seguintes conceitos quando for ponderar sobre suas ferramentas e processos:<\/p>\n

    \n
  1. Automa\u00e7\u00e3o<\/strong><\/li>\n<\/ol>\n

    Primeiro, as organiza\u00e7\u00f5es podem melhorar imensamente sua triagem de alertas usando a automa\u00e7\u00e3o. A Palo Alto Networks acredita que as opera\u00e7\u00f5es de seguran\u00e7a da Camada 1 (triagem de alertas) podem e devem ser automatizadas usando as tecnologias SOAR, que usam manuais de estrat\u00e9gias pr\u00e9-definidas para automatizar as a\u00e7\u00f5es de resposta. Para a triagem de alertas, tais a\u00e7\u00f5es incluem a an\u00e1lise dos alertas, a atualiza\u00e7\u00e3o de um caso se for um problema conhecido, a abertura de um caso se n\u00e3o for um problema conhecido e ent\u00e3o a realiza\u00e7\u00e3o da triagem da severidade do alerta e o seu envio para um analista. Automatizar esse processo reduz bastante o n\u00famero de alertas que os analistas devem responder, permitindo que eles gastem o seu valioso tempo investigando problemas e n\u00e3o olhando registros.<\/p>\n

      \n
    1. Juntando os dados<\/strong><\/li>\n<\/ol>\n

      Depois, as equipes de seguran\u00e7a devem come\u00e7ar a priorizar ferramentas integradas em vez das ferramentas em silos se quiserem melhorar a visibilidade. Se voc\u00ea tem sete ferramentas diferentes, cada uma vigiando uma parte espec\u00edfica da sua infraestrutura de rede, sem que conversem entre elas, as ferramentas n\u00e3o ser\u00e3o capazes de fornecer o contexto que ajude na ca\u00e7a \u00e0s amea\u00e7as e nas investiga\u00e7\u00f5es. Voc\u00ea n\u00e3o saber\u00e1 se uma s\u00e9rie de a\u00e7\u00f5es que parecem benignas por si s\u00f3 est\u00e3o, na verdade, sendo realizadas numa sequ\u00eancia que possa indicar a presen\u00e7a de um advers\u00e1rio no seu sistema. Ou voc\u00ea pode gastar uma hora rastreando um malware que passou furtivamente pelo seu EPP e acabar descobrindo que ele foi bloqueado pelo firewall.<\/p>\n

        \n
      1. Aprendizado de m\u00e1quina<\/strong><\/li>\n<\/ol>\n

        Finalmente, uma ferramenta de EDR deve ter recursos de aprendizado de m\u00e1quina que permitam que ela reconhe\u00e7a padr\u00f5es para que ela possa aprender e melhorar. Sua EDR deve se basear nas suas fontes de dados para continuar refinando seu algoritmo, gerando alertas de alta fidelidade, priorizados e espec\u00edficos.<\/p>\n

        O Cortex XDR entrega detec\u00e7\u00f5es mais inteligentes<\/strong><\/p>\n

        O Cortex XDR provou que entrega a melhor combina\u00e7\u00e3o de alertas de alta fidelidade, muito \u00fateis na identifica\u00e7\u00e3o de amea\u00e7as, al\u00e9m de registros de telemetria correlacionados e aprimorados para investiga\u00e7\u00e3o e ca\u00e7a \u00e0s amea\u00e7as. Esses tipos de alertas podem ajudar as empresas a aproveitar o fluxo de falso-positivos para que os analistas possam focar na investiga\u00e7\u00e3o de amea\u00e7as reais.<\/p>\n

        Um teste das ferramentas de EDR usando emula\u00e7\u00f5es reais de ataques do grupo APT 3 atrav\u00e9s do MITRE ATT&CK observou, recentemente, que o Cortex XDR e o Traps detectaram a maioria das t\u00e9cnicas de ataques de 10 fornecedores de endpoints de detec\u00e7\u00e3o e respostas<\/a>. Essa avalia\u00e7\u00e3o apresentou uma das primeiras avalia\u00e7\u00f5es objetivas e abertas do setor sobre a real fun\u00e7\u00e3o e desempenho do mercado de EDR.<\/p>\n

        \"\"<\/span><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"

        Os dados da pesquisa da Palo Alto Networks mostram que os analistas do SOC s\u00f3 est\u00e3o aptos a lidar com 14% dos alertas gerados pelas ferramentas de seguran\u00e7a. Quando voc\u00ea considera os …<\/p>\n","protected":false},"author":657,"featured_media":100227,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3558],"tags":[],"coauthors":[6810],"class_list":["post-101510","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nao-categorizado"],"jetpack_featured_media_url":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-content\/uploads\/2019\/07\/Mitre-blog-illustration-01-1.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/101510","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/657"}],"replies":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=101510"}],"version-history":[{"count":3,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/101510\/revisions"}],"predecessor-version":[{"id":101513,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/101510\/revisions\/101513"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/100227"}],"wp:attachment":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=101510"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=101510"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=101510"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=101510"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}