インシデントレスポンスに携わるセキュリティアナリストは,日々アラートの洪水に襲われています。アラートがあまりに膨大なため,全てに対応することは不可能です。現実に近1/3い組織が,セキュリティアラートのうち50%以上を無視しているということで,それは単純に量が多すぎて対応できないからということが理由です。* 1状況は明らかに多勢に無勢で,インシデントレスポンスのチームは,毎日受け取る莫大な量のセキュリティアラートに圧倒されているのです。
全てのアラートを調査するのは事実上不可能なばかりか,ほとんどの組織でフォルスポジティブ(誤検知)の平均が40%を超えていることを考えると,全てに対応するのは時間の無駄であるともいえます。* 2