面對將近五成的誤報率，安全分析師正處在焦慮和失眠的煎熬中，只有自動化才是“安眠藥”。

　　IDC的最新報告調(diào)查了350位內(nèi)部人士、MSSP安全分析師和管理人員，結(jié)果顯示，由于廣泛的“警報疲勞”導致警報被忽略，以及擔心漏報（遺漏安全事件），安全分析師的壓力不斷增加，而生產(chǎn)力則在下降。

　　FireEye客戶成功副總裁Chris Triolo說：“來自不同解決方案的大量誤報警報使安全分析師不知所措，同時越來越擔心它們可能會錯過真正的威脅。”

　　“為解決這些挑戰(zhàn)，分析人員要求使用先進的自動化工具，例如擴展檢測和響應，以幫助減輕對遺漏事件的擔憂，同時增強其SOC的網(wǎng)絡安全能力。”

　　高誤報率加劇警報疲勞

　　高達45%的安全警報誤報，而35%的響應人員在隊列擁擠時選擇忽略警報！（下圖）

　　誤報會造成“警報疲勞”：盡管分析師和IT安全經(jīng)理每天都會收到成千上萬的警報，但受訪者表示，其中45％的警報都是誤報，導致內(nèi)部分析師的工作效率降低，工作流程流程變慢。為了管理SOC中的警報過載，該組中35％的人表示他們選擇忽略警報。

　　MSSP安全托管服務服務商花費了更多的時間來篩選誤報，但忽略的警報更多：MSSP分析師表示，他們收到的警報中有53%是誤報。同時，托管服務提供商的分析人員中有44％表示，當隊列太滿時，他們會忽略警報，這可能會導致涉及多個客戶的違規(guī)行為。

　　大多數(shù)安全分析人員和管理人員擔心會漏報事件（FOMI）

　　隨著分析師在手動管理警報方面面臨更多挑戰(zhàn)，他們對漏報事件的擔憂也越來越多：四分之三的分析師擔心漏報事件，四分之一的分析師“非常”擔心漏報事件。

　　但是，F(xiàn)OMI給安全經(jīng)理造成的痛苦甚至超過了分析師：6％以上的安全經(jīng)理表示，由于擔心遺漏事件而導致失眠。

　　分析師需要自動化的SOC解決方案來對抗FOMI

　　目前，只有不到一半的企業(yè)安全團隊使用工具自動化SOC活動，具體統(tǒng)計結(jié)果如下：

　　人工智能和機器學習技術(shù)（43％）

　　安全流程自動化和響應（SOAR）工具（46％）

　　安全信息和事件管理（SIEM）軟件（45％）

　　威脅搜尋（45％）以及其他安全功能。

　　此外，只有五分之二的分析師將人工智能和機器學習技術(shù)與其他安全工具一起使用。

　　為了管理SOC，安全團隊需要先進的自動化解決方案來降低警報疲勞并通過專注于更高技能的任務（例如威脅搜尋和網(wǎng)絡調(diào)查）來提高成功率：在對最容易自動化的安全工作進行排名時，威脅檢測獲得最高票數(shù)（18%分析師的心愿單），其次是威脅情報（13％）和事件分類（9％）。

　　SOC自動化的重心不應該是SIEM

　　安全運營中心（SOC）的重心曾經(jīng)是SIEM。但是現(xiàn)在，隨著SOC的任務轉(zhuǎn)變?yōu)闄z測和響應組織，這種情況正在發(fā)生變化。

　　SIEM已經(jīng)存在了數(shù)十年，旨在通過規(guī)范多個技術(shù)供應商之間的警報來替換手動日志關(guān)聯(lián)以識別可疑的網(wǎng)絡活動。SIEM從未設計成可以處理完整的威脅情報管理用例，也不能與諸如端點檢測和響應（EDR），網(wǎng)絡檢測和響應（NDR）以及云檢測和響應之類的現(xiàn)代安全工具和技術(shù)集成并處理大量數(shù)據(jù)。

　　新一代的SOC的檢測和響應功能不會孤立在單個工具中，而是會擴展到整個生態(tài)系統(tǒng)。所需要的是一個平臺，該平臺可以與多個不同的內(nèi)部和外部威脅與事件數(shù)據(jù)源（包括來自SIEM的數(shù)據(jù)源）集成，并支持與傳感器網(wǎng)格的雙向集成。具有這種功能的平臺是加速安全操作的關(guān)鍵，并使現(xiàn)代SOC能夠完成其任務。