Новый способ повысить производительность аналитиков безопасности
Когда мы смотрим на типичную команду SecOps, почти всегда присутствует несколько проблем, независимо от размера и местоположения команды.
Во-первых, команды SecOp состоят из преданных своему делу профессионалов, которые делают все возможное, чтобы обеспечить безопасность своих организаций или среды своих клиентов. Они работают сверхурочно, редко имеют время неторопливо пообедать и имеют мало выходных.
Во-вторых, эти команды управляют сложными наборами технологий, разработанными по разным причинам: от защиты конечных точек до контроля доступа и защиты данных. Эти инструменты ежедневно генерируют огромное количество данных, а в сочетании с журналами, созданными ИТ- и ОТ-устройствами, вы получаете огромный набор данных, требующих анализа.
Наконец, командам безопасности постоянно приходится делать сложные компромиссы в отношении расследований, из-за чего значительное количество оповещений остается без внимания в течение нескольких дней или недель. Единственный способ решить эти проблемы — изменить правила игры, внедрив... Open XDR Следователи, и именно этим мы и занимаемся для наших клиентов.
Open XDR Платформа Investigator, работающая на базе GenAI, позволяет аналитикам безопасности проводить расследования более эффективно. Они могут общаться с нашими специалистами. Open XDR они могли бы использовать эту платформу так же, как и с коллегой.
Задавая простые вопросы, следователь может:
- Выполняйте сложные запросы ко всему набору данных, возвращая именно то, что ищет аналитик безопасности.
- Создавайте динамические графики, иллюстрирующие конкретные аспекты набора данных.
- Выявляйте активы или пользователей, демонстрирующих ненормальное поведение, без ручных усилий.
- Понимайте широту и масштаб любой атаки, наблюдая за всеми затронутыми пользователями, активами и устройствами.
- Инициировать сложные ответные действия в окружающей среде.
- И многое другое.
У нас есть комплексная дорожная карта для Investigator, которая в конечном итоге позволит любому аналитику безопасности эффективно проводить расследования, причем первая реализация сосредоточена на трудоемкой вручную задаче поиска угроз.
Теперь вместо того, чтобы быть гуру по написанию запросов, аналитики безопасности могут задавать такие вопросы, как «Покажите мне любого пользователя или актив, связанный с фишинговой атакой, произошедшей на прошлой неделе». Затем следователь создаст и выполнит соответствующий запрос, вернув результаты за считанные секунды. Например, аналитик может заметить, что определенное устройство несколько раз подвергалось фишинговой атаке, и захотеть углубиться в эту машину.
Затем аналитик по безопасности может задать дополнительные вопросы, например: «Покажите мне все оповещения и аномалии для машины X и сравните их с другими машинами в среде, показав все остальные, у которых аналогичное количество связанных оповещений». Теперь, задав эти два простых вопроса, аналитик может провести углубленное расследование, не создавая ни одного запроса. После нескольких дополнительных вопросов аналитик может обнаружить, что небольшое количество устройств генерирует атаки, поэтому он может попросить следователя отреагировать, создав отчет, которым можно поделиться с руководством и другими заинтересованными сторонами. Это лишь наглядный пример возможностей системы. Open XDR Следователь. У нас много планов по развитию этой возможности, так что следите за новостями.
Чтобы узнать больше о Open XDR Следователь, напишите нам для подробной демонстрации и обсуждения того, как эта возможность может повысить производительность вашей команды до небес.
