当今的安全团队面临着前所未有的复杂性。IT 环境正在快速变化和扩展，导致数据激增，为了保持企业内部庞大的结构体系与业务的正常运行，从而购置了越来越多的工具。随着大量工具的配备，会出现大量警报，导致安全操作团队产生不可避免的警报疲劳。企业战略集团完成的研究表明，有40% 的组织使用 10 到 25 种单独的安全工具，有30% 的组织使用 26 到 50 种安全工具。这意味着每天都会有有成千上万的警报，具体取决于组织的大小。

幸运的是，有一种方法可以针对团队收集的警报进行简化并展示：利用基于云的 SIEM。以下是基于云的 SIEM 可以帮助对抗警报疲劳以加速威胁检测和响应的几种关键方法。

传统的 SIEM 主要专注于日志管理，以合规性为中心，而不是让您全面了解您的网络。这些过时的解决方案与现在企业团队的需求正好相反。云 SIEM 可以统一本地、远程和云环境中的不同数据集，为安全操作团队提供在一个地方所需的整体可见性，从而无需跳入和跳出多个工具（以及他们生成的数千、万个警报）。

像 Rapid7 的 InsightIDR 这样的现代云 SIEM，您可以收集的不仅仅是来自整个环境的日志，还可以将包括用户活动、云、端点和网络流量在内的数据全部收集到单个解决方案中。云 SIEM 将数据放在一个位置，提供存在的关联性分析以及优先顺序，以帮助您避免大量警报。

智能分析快速定位

通过一起分析您的所有数据，云 SIEM 使用机器学习更好地识别环境中的模式，以了解什么是正常数据，什么是潜在威胁。结果如何？加上微调的检测，以便您的团队只有在真正发生有威胁的情况时才会收到警报。

云 SIEM 不会让您陷入误报的困扰，而是提供关联性分析、可操作的警报。InsightIDR 为客户提供由我们的专家分析师根据真实威胁创建和策划的高质量、开箱即用的警报，因此您可以在产生攻击链的早期快速的发现并拦截攻击行为，而不是去筛选大量数据和毫无价值的警报。

通过自动化加速响应

通过自动化，您可以降低警报疲劳，进一步提高 SOC 的效率。通过利用内置自动化或能够集成安全编排和自动化 （SOAR） 工具的云 SIEM，您的 SOC 可以减轻大量工作量，并释放分析师，专注于最重要的事情。

云 SIEM 具有专家驱动的检测和内置自动化功能，使安全团队能够在一小段时间内对攻击进行响应和补救，而不是手动调查数千个警报。InsightIDR 可与 Rapid7 的安全编排和自动化响应 （SOAR） 工具 InsightConnect 无缝集成，可减少警报疲劳、自动化遏制并改进调查处理。

基于云的 SIEM 工具具有整体网络可见性和高级分析功能，为团队提供上下文关联性分析警报和相关性，以对抗警报疲劳并加快事件检测和响应。了解更多关于 InsightIDR(https://www.rapid7.com/products/insightidr/outcomes/focus-your-talent/)：如何通过查看我们的结果页面来帮助消除警报疲劳等信息。