
TYPE 7
アラートノイズ過多型
アラートが多すぎて重要リスクが埋もれる
いまの状態
複数ツールから大量のアラートが出ており、本当に危険なものが埋もれてしまっている可能性があります。アラートが多いこと自体よりも文脈が不足していることが問題です。同じCriticalでも、本番稼働・外部公開・権限・不審挙動の有無によって対応優先度は大きく異なります。
放置するとどうなる
- アラートが多すぎてSOCが疲弊している
- 重要度の高いアラートを人手で選別している
- 誤検知が多く、現場がアラートを信用しなくなっている
※ こわがらせたいわけではなく、優先順位を考える材料です。影響は環境によって異なります。
まず測ってほしい指標
- 日次アラート件数のうち人手判断に依存している割合
- 重複・誤検知アラートの比率
Sysdig Secure ならこう変わる
Sysdigはランタイムインサイトでリスクを優先し、アラートノイズ削減に寄与します。アラートを増やすのではなく、実際のリスクで減らします。