提升效率顯然可以節省時間和開銷。除開這么明顯的好處，還有一些其他隱形福利，比如減少人為失誤、提升準確率、增加生產力等等。

[[227714]]

然而不幸的是，在事件響應領域，缺乏效率卻是常態。雖然有些很棒的安全團隊想要在事件響應過程中引入效率，我們生活的世界流行的卻是“剪貼”式事件管理。即便團隊相當有才，想往事件響應過程中引入效率卻也是舉步維艱。

這并不是說就沒多少人想要提升事件響應過程的效率，而是說，某種程度上而言，所有關于提升事件響應效率的討論都沒有產出什么太大的改變。個中原因有很多，比如到底是哪些領域讓企業投入大量時間進行人工事件管理，大家的看法可能就存在差異。

或許把企業最需要往事件響應工作流中引入效率的領域列舉一下，會對現狀有所幫助：

1. 警報/事件和事故單/工作隊列之間的智能映射

安全公司每天要處理的事件以十億計，警報也能有數萬到數十萬條，但真正開出事故單需要納入工作隊列著手處理的，可能在幾百條左右。警報通常是由覆蓋一個或多個事件的邏輯自動產生的。雖然質量和精確度有待考證，但至少這個過程是相對自動化的。只是，到底哪些警報需要納入工作隊列呢?很不幸，這個甄別過程就相當不明確，基本上靠人工來做了。

2. 預判優先級

不先定個優先級就干等著眾多警報加入到工作隊列中，這種事無異于讓我們的團隊白白浪費大量時間在梳理成千上萬個無意義的數據節點上。何不在警報變為工作量之前就先想想我們到底面臨的是什么風險和威脅?在警報內容構建過程一開始就定下優先級不是很好嗎?

3. 強化前期分析

為什么要對著一大堆上下文和意義都不明確的數據發愁?為什么不戰略性地在數據構建過程初期就進行分析而產出高質量的警報和更有意義更富上下文的數據再發到工作隊列呢?

4. 用戶識別

分析警報的時候必定要識別用戶。這一步完全可以自動化，不需要再由人工操作了。

5. 資產識別

理由同上。

6. 警報評估

大多數警報評估涉及的事項都差不多，我們甚至可能遵循定好的流程來篩查某類警報。這種重復性工作何不自動化呢?

7. 理解警報

評估警報的時候，我們至少要對當前發生的事情有個基本了解，而這通常涉及審查警報本身及相關支持性證據。為什么不把這些支持性證據自動加進來呢?

8. 抽取IOC

調查涉惡意代碼或惡意鏈接的事件往往需要抽取攻擊指標(IOC)。都2018年了，好歹把抽取工作自動化了吧!

9. 事件描述

決策需要上下文和對事件的理解。如果能把大部分事件描述工作給自動化了，難道不是更能省出時間來進行分析和事件響應了嗎?

10. 分析

整個事件響應工作流中最能體現人類智慧的環節。于是，省省那些在Excel表格中剪切粘貼的無腦工作吧，我們可以做得更好的。

11. 識別感染/入侵方法

分析的成果之一，就是找出當前安全狀態中的漏洞并補之。然而即便發現了漏洞，我們仍然需要一個系統一個系統地登錄進去再執行漏洞修補動作。這么費事的過程，就不能統一執行了嗎?

12. 轉向

隔離出行為異常的主機后，我們就會轉向研究這些主機最近都遭遇了什么。沒錯，這里面涉及一些剪切粘貼的工作，還有額外的查詢之類的。

13. 查找相關行為

深入了解了正在處理的事件后，我們就需要轉向可以使我們找出其他地方類似事件的工作了。于是，另一波剪切粘貼和更多查詢襲來。

14. 識別/填補警報中的漏洞

如果錯過了某些重要事件，我們就需要了解為什么警報機制中會出現漏洞，并將該漏洞堵上。該工作自然落在安全團隊身上。但如果將來有工具可以更積極主動地指引我們識別出漏掉的事件，不是更好嗎?

15. 識別根源

弄清事件產生根源非常重要，但這基本是個人工過程。如果能有些輔助措施，想必是很好的。

16. 改善安全態勢

發現了新的惡意域名，自然就會想要封鎖它或者導引到無害的地方掛起。當然，這些操作都是人工的。

17. 事故單里記下一切

沒記錄就沒發生過。但事故單詳錄過程真的有必要做那么多剪切粘貼嗎?

18. 報告

嚴重事件通常需要做事后報告。如果事故單里已經記錄下了一切重要信息，為什么還要重復一遍這個過程來提交一份可以讓人驕傲地上呈管理層、高管和其他利益相關者的報告呢?

19. 溝通

簡明及時的溝通在事件處理過程中起著非常重要的作用。于是，如果能從事件處理系統自動生成要匯報的各種郵件，不是很美好的事嗎?

20. 抽取經驗教訓

世上沒有完美的安全項目。處理過的任何事件都可作為經驗教訓以供將來參考。但這種經驗教訓的抽取過程如果能有工具幫忙就更好了。