من هرم الألم إلى هرم التأثير: إعادة التفكير في دور المحلل في مجال تعزيز القدرات البشرية SOC

By /

أمن يحركه الذكاء الاصطناعي, الذكاء الاصطناعي, هجمات الكترونية, الأمن السيبراني, EDR - الكشف عن نقطة النهاية والاستجابة لها, الهوية, الكشف عن تهديدات الهوية والاستجابة لها (ITDR), MSSPs, NDR, NG-SIEM, Open XDR, Open XDR المنظومة, أمان OT, التكنولوجيا الأمنية, SOC

متفائلون بشأن السيارات ذاتية القيادة SOCواقعيون بشأن ما يوصلنا إلى هناك.

لقد كان هناك الكثير من الحديث في الآونة الأخيرة حول مستقل SOC - مستقبل حيث لا تقوم الآلات بالتنبيه فحسب، بل تقوم أيضًا بالربط والفرز والتحقيق والاستجابة.

يبدو الأمر رائعًا، خاصةً إذا كنتَ تعمل في نوبة ليلية غارقًا في التنبيهات. لكن إليك الحقيقة: لا يمكنك أتمتة كل شيء إلا إذا كانت الأتمتة تتعلم من شخص ما.

هذا "الشخص" لا يزال هو المحلل. وليس فقط لرعاية الآلة، بل أيضًا التأثير عليه بطرق ذات مغزى.

من ألم اللجنة الأولمبية الدولية إلى تأثير المحللين

سيتذكر قدامى المحاربين في مجال الأمن هرم الألم للجنة الأولمبية الدولية، وهو ما علمنا أن ليس كل المؤشرات متساوية - فكلما كان مؤشر IOC مجردًا، كلما كان أكثر ضررًا للمهاجم عند اكتشافه.

الآن قم بتطبيق نفس التفكير داخليًا:
ليس كل تعليقات المحللين متساوية أيضًا.

التعليق مفيد .
إن الحكم المبرر الذي يقضي على التنبيهات المستقبلية يعد حكماً تحويلياً.

لذا، دعونا نقدم نموذجًا جديدًا: هرم تأثير تعليقات المحللين - إطار عمل لفهم أنواع المدخلات البشرية التي تقود التغيير الحقيقي، وأيها مجرد تزيين للواجهة.

هرم تأثير تعليقات المحللين

هرم تأثير تعليقات المحللين

ليست كل ردود الفعل TP/FP متساوية

وهنا حيث تصبح الفروق الدقيقة مهمة.
النقر على "إيجابية خاطئة" دون قول لماذا or لمن هو المستوى الأول. قد يظهر في التقارير، لكنه لا يغير النظام.

الآن أضف:

"FP لأن powershell.exe يتم استخدامه لأتمتة التصحيح على هذا المضيف.

لقد أنشأت الآن ملاحظات المستوى الرابع. والتي يمكن قمع التنبيه في المستقبل. أو قم بتشغيل استبعاد الكشف. أو إعادة وزن نموذج التعلم الآلي. الآن أنت تدريب النظام.

هذا أكثر من مجرد وضع علامات - إنه تعاليم.

تشبيه تيسلا: دفعة أم تجاوز؟

إذا كنت قد استخدمت نظام القيادة الذاتية الكاملة من Tesla، فأنت تعرف الإجراء:
  • A دفع خفيف على عجلة القيادة يخبر النظام بأنك منخرط
  • A الاستيلاء القوي يتولى السيطرة

تعمل تعليقات المحلل بنفس الطريقة.
أحيانًا يكون مجرد توجيه، وأحيانًا يكون استيلاءً. يكمن السر في التأكد من قدرة الآلة على التمييز بينهما، والتعلم منهما.

الإنسان المعزز SOCمصمم لتلقي الملاحظات

At ستيلر سايبرنحن لا نقوم فقط بأتمتة فرز التنبيهات - بل نمتلكها أيضًا الدورة الكاملة، من الكشف للاستجابةوهذا يعني أننا قادرون على القيام بشيء لا يستطيع معظم البائعين القيام به:
دع تعليقات المحلل تنتقل ضد التيار للتأثير على طبقة الكشف نفسها.

لذا، عند رصد نتيجة إيجابية خاطئة، لا نكتفي بإغلاقها تلقائيًا، بل يمكننا قمعها من المصدر. لأن منع الضوضاء أفضل دائمًا من التعامل معها، بغض النظر عن مدى كفاءة خط أنابيب الفرز الخاص بك.

هذا ما يجعل منصتنا مناسبة بشكل فريد لـ مُعززة بالإنسان مستقل SOC:

  • حيث يكون مدخلات المحلل التأثير المنظم
  • حيث يمكن لكل نقرة مبررة ضبط نموذج أو تشكيل قاعدة
  • وحيث لا تكون ردود الفعل طريقًا مسدودًا - فهي جزء من المحرك

الفكرة النهائية: ردود الفعل هي الوقود

إن ردود الفعل هي الطريقة التي يتم بها كسب الثقة.
استخدم هرم تأثير تعليقات المحللين يساعدنا ذلك على تحديد أولويات هذه الملاحظات - وبناء أنظمة تعمل عليها بالمستوى المناسب من الثقة.

في النهاية، لا يتعلق الاستقلال باستبدال البشر، بل يتعلق باحترام مساهماتهم كافية للسماح لها بتوجيه الآلة.

لأن SOC لا يصبح أكثر ذكاءً من تلقاء نفسه.
يصبح النظام أكثر ذكاءً من خلال التعلم من أفضل معلميه: المحلل الذي يعرف متى يوجه الأوامر، ومتى يتجاهلها، ومتى يعلم النظام ألا يرتكب نفس الخطأ مرتين.

منشورات ذات علاقة

انتقل إلى الأعلى
اشترك في النشرات الإخبارية