Новый пакет экспертизы MaxPatrol SIEM (система мониторинга событий ИБ и выявления инцидентов) включил автоматический вайтлистинг — механизм автоматического исключения ложных срабатываний правил корреляции. За счет оптимизации рутинных задач аналитики ИБ могут экономить до 250 человеко-часов в неделю при анализе срабатываний и отборе реальных инцидентов, а также быстрее адаптировать SIEM-систему под свою инфраструктуру при внедрении.
«В инфраструктурах работает бесчисленное количество программ, а обычные пользователи ежедневно совершают миллионы действий, которые продуктам ИБ нужно отличать от активности злоумышленников. При этом любое средство защиты может генерировать ложноположительные срабатывания, то есть ошибочно признавать активность нелегитимной. Необходимость работы с false positive — известный факт, с которым сталкиваются пользователи различных продуктов для ИБ, в том числе SIEM-систем. Так, по данным опроса Center for Long-Term Cybersecurity , 36% специалистов отмечают, что получают слишком много ложных срабатываний при использовании фреймворков ATT&CK. В результате аналитикам приходится обрабатывать срабатывания правил корреляции и вручную отсеивать false positive. Это трудозатратный процесс: из-за большого количества false positive возрастает риск пропустить кибератаку, — отмечает Юлия Фомина, старший специалист отдела экспертных сервисов и развития
Источник: SecurityLab