Оптимистичный взгляд на автономные системы SOCРеалистичный подход к тому, что нас к этому приведет.
В последнее время много говорят о автономный SOC — будущее, в котором машины не просто оповещают, но и сопоставляют, сортируют, расследуют и реагируют.
Звучит фантастически, особенно если вы когда-нибудь работали в ночную смену, заваленные тревогами. Но вот правда: невозможно автоматизировать всё, если автоматизация не учится у кого-то.
Этот «кто-то» — всё ещё аналитик. И не просто для того, чтобы нянчиться с машиной, а для того, чтобы влиять на это осмысленными способами.
От боли МОК к влиянию аналитиков
Ветераны безопасности будут помнить Пирамида боли МОК, что научило нас, что не все индикаторы равны — чем более абстрактный IOC, тем больший вред он наносит злоумышленнику при обнаружении.
Теперь примените те же мысли внутренне:
Не все отзывы аналитиков равноценны.
Комментарий будет полезен.
Обоснованный вердикт, подавляющий будущие оповещения, имеет преобразующее значение.
Итак, давайте представим новую модель: Пирамида воздействия отзывов аналитиков — структура, позволяющая понять, какие типы человеческого вклада приводят к реальным изменениям, а какие просто украшают интерфейс.
Пирамида воздействия отзывов аналитиков
Не все отзывы TP/FP равноценны
Вот здесь-то и важны нюансы.
Нажать «Ложный положительный результат», не сказав ни слова почему or для кого Это уровень 1. Он может отображаться в отчетах, но не меняет систему.
Теперь добавьте:
«ФП, потому что powershell.exe используется для автоматизации исправлений на этом хосте».
Теперь вы создали обратную связь уровня 4. Это может подавлять оповещение в будущем. Или активировать исключение обнаружения. Или перевесить модель машинного обучения. Теперь ты обучение системы.
Это больше, чем просто тегирование — это обучение.
Аналогия с Теслой: подтолкнуть или переопределить?
- A легкий толчок по колесу сообщает системе, что вы заняты
- A крепкий захват берет на себя управление
Обратная связь с аналитиками работает таким же образом.
Иногда это просто руководство. Иногда это захват. Секрет в том, чтобы машина могла заметить разницу и учиться на обоих.
Человек-дополненный SOCСоздано для обратной связи
At Звездный киберМы не просто автоматизируем сортировку оповещений — мы владеем полный цикл, Из обнаружение для реагированияЭто значит, что мы можем делать то, что не могут большинство поставщиков:
Дайте возможность аналитическим отзывам путешествовать вверх по течению чтобы влиять на слой обнаружения себя.
Поэтому при обнаружении ложного срабатывания мы не просто автоматически закрываем его, а можем подавить его в источнике. Потому что предотвращение шума всегда лучше, чем борьба с шумом, независимо от того, насколько эффективен ваш конвейер сортировки.
Именно это делает нашу платформу уникально подходящей для Дополненные человеком автономный SOC:
- Один, где вклад аналитика имеет значение структурированное воздействие
- Где каждый обоснованный щелчок может настроить модель или сформировать правило
- И где обратная связь не является тупиком — она часть двигателя
Заключительная мысль: обратная связь — это топливо
Обратная связь — это способ завоевать доверие.
Пирамида воздействия отзывов аналитиков помогает нам расставлять приоритеты в отношении этой обратной связи и создавать системы, которые реагируют на нее с должным уровнем уверенности.
В конечном счёте, автономия заключается не в замене людей, а в уважении их вклада. достаточно, чтобы позволить ему вести машину.
Потому что SOC Сам по себе умнее не становится.
Система становится умнее, учась у своего лучшего учителя: аналитика, который знает, когда нужно подтолкнуть, когда пересмотреть свои решения, а когда научить систему не совершать одну и ту же ошибку дважды.
