如何减少国防 SOC 的警报过载

分析师面临着源源不断的通知，其中大多数都是误报。研究表明，71% 的安全运营中心 (SOC) 人员 ¹ 感到精疲力尽，并表示他们被大量警报压得喘不过气来。分析师最大的挫折感之一是，他们花费了过多时间处理误报和执行手动工作。

最令人担忧的是，2024 年的一项调查 ² 显示，高达 62% 的警报被完全忽略，长时间轮班后准确率下降了 40%。因此，这不仅是一个效率问题，也是一个源于人为因素的安全漏洞，恰恰为复杂的威胁提供了可乘之机。

幸运的是，更智能的检测策略与先进的自动化和 AI 驱动的安全工具相结合，正在降低噪音和风险。许多组织已经看到了显著的改进。最近一份分析客户反馈的报告显示，使用 Elastic Security 的企业将每日警报数量从 1,000 多条减少到仅 8 条可采取行动的发现，误报率平均降低了 75%。这不仅仅是噪音的减少，而是分析师关注点和 SOC 效率的转变。这一转变背后的一个关键驱动力是像 Elastic 的 Attack Discovery 这样的 AI 驱动工具。它可以通过识别实际攻击而不是单个异常来减少误报。

Security 团队不需要更多警报。他们需要在运营方式上做出战略性改变。获取有意义、可操作的情报的途径不是增加更多工具、更多培训或更多的轮班——当然，这会导致更高的成本。相反，它是关于了解国防团队已经实施的战略变化，以减少警报过载和风险暴露并加强安全行动。

为了高效调查威胁，分析师需要从整体了解不同事件在整个环境中的关系。然而，由于数据分散在终端、防火墙和身份系统中，实现统一视图是一个持续的挑战。

Elastic 的 Attack Discovery 功能能够主动识别警报之间的关系，揭示可能隐藏在大量数据中的攻击模式。其核心是先进的搜索功能与大型语言模型的结合，这些模型与实际安全数据协同工作，而非依赖通用安全假设。这使得通过关联规则自动检测已知威胁成为可能，同时将相关事件联系起来，提供更丰富的上下文信息以及更快、更准确的调查。每次发现都通过连接相关警报来突出显示潜在攻击，这些警报会显示涉及的用户和主机、活动与 MITRE ATT&CK® 框架的对应关系以及可能的威胁行为者。Elastic Attack Discovery 将看似无关的警报连接成清晰、连贯的攻击链。分析师无需处理孤立的异常网络流量、可疑进程或凭据使用警告，而是可以立即查看攻击的完整上下文。

知识库通过整合过去事件的背景、攻击模式和环境中的关联性来丰富警报，帮助分析师全面了解情况并清晰准确地应对威胁。

它还支持长期取证数据保留，能够将事件关联起来进行长期追踪，这对于维护国防工业的安全性和合规性至关重要。

高警报量会让您的团队精疲力竭。通过对警报管理方式进行战略性变革，团队可以从被动响应转变为更周到、更主动的行动。无需手动响应每一次遥测数据的激增，团队就有更多空间思考更深入的问题，开发高级检测策略，或开展以前无法实现的威胁搜寻项目。

了解您的国防安全团队如何通过 AI 驱动的自动化提高效率、减少疲劳并简化操作。参加我们的网络研讨会更智能的安全：AI 如何改变威胁检测和分析师的工作流——这是我们四部分网络研讨会系列的第一部分，重点介绍 AI 如何重塑国防 SOC 运营的实用方法。

来源：

1. Tines，《报告：SOC 分析师之声》，2022年。

2. MSSP Alert 和 CyberRisk Alliance，“MSSP 市场新闻：调查显示 62% 的 SOC 警报被忽略”，2024 年。

本文中描述的任何功能或功能性的发布和时间均由 Elastic 自行决定。当前尚未发布的任何功能或功能性可能无法按时提供或根本无法提供。

在本博文中，我们可能使用或提到了第三方生成式 AI 工具，这些工具由其各自所有者拥有和运营。Elastic 对第三方工具没有任何控制权，对其内容、操作或使用不承担任何责任或义务，对您使用此类工具可能造成的任何损失或损害也不承担任何责任或义务。请谨慎使用 AI 工具处理个人、敏感或机密信息。您提交的任何数据都可能用于 AI 训练或其他目的。Elastic 不保证您所提供信息的安全性或保密性。在使用任何生成式 AI 工具之前，您都应自行熟悉其隐私惯例和使用条款。 

Elastic、Elasticsearch 及相关标志是 Elasticsearch N.V. 在美国和其他国家/地区的商标、徽标或注册商标。所有其他公司和产品名称均为其相应所有者的商标、徽标或注册商标。