Optimistisch in Bezug auf autonome Systeme SOCRealistisch in Bezug darauf, was uns dorthin bringt.
In letzter Zeit wurde viel darüber gesprochen, Autonom SOC – eine Zukunft, in der Maschinen nicht nur Alarm schlagen, sondern auch korrelieren, priorisieren, untersuchen und reagieren.
Das klingt fantastisch, besonders wenn Sie schon einmal in der Nachtschicht gearbeitet haben und ständig mit Warnmeldungen überhäuft wurden. Aber hier ist die Wahrheit: Sie können nicht alles automatisieren, es sei denn, die Automatisierung lernt von jemandem.
Dieser „Jemand“ ist immer noch der Analytiker. Und zwar nicht nur, um die Maschine zu babysitten – sondern um beeinflussen es auf sinnvolle Weise.
Vom IOC-Problem zum Einfluss der Analysten
Sicherheitsveteranen werden sich erinnern an die IOC-Pyramide des Schmerzes, was uns gelehrt hat, dass nicht alle Indikatoren gleich sind – je abstrakter der IOC, desto mehr schadet er dem Angreifer, wenn er erkannt wird.
Wenden Sie nun dieselbe Denkweise intern an:
Auch ist nicht jedes Analystenfeedback gleich.
Ein Kommentar ist hilfreich.
Ein begründetes Urteil, das zukünftige Warnungen unterdrückt, ist transformativ.
Lassen Sie uns also ein neues Modell vorstellen: das Einflusspyramide für Analysten-Feedback – ein Rahmen, um zu verstehen, welche Arten menschlicher Eingaben echte Veränderungen bewirken und welche lediglich die Benutzeroberfläche schmücken.
Einflusspyramide für Analysten-Feedback
Nicht jedes TP/FP-Feedback ist gleich
Hier kommt es auf die Nuancen an.
Klicken Sie auf „Falschpositiv“, ohne es zu sagen warum or Für wen ist Stufe 1. Es wird möglicherweise in Berichten angezeigt, ändert aber nichts am System.
Fügen Sie nun hinzu:
„FP, weil powershell.exe wird für die Patch-Automatisierung auf diesem Host verwendet.“
Jetzt haben Sie Feedback der Stufe 4 erstellt. Das kann unterdrücken den Alarm in Zukunft. Oder lösen Sie eine Erkennungsausschluss. Oder ein ML-Modell neu gewichtenJetzt bist du Training des Systems.
Das ist mehr als nur Tagging – es ist Lehre.
Die Tesla-Analogie: Anstoßen oder Überschreiben?
- A leichter Schubs am Lenkrad teilt dem System mit, dass Sie beschäftigt sind
- A fester Griff übernimmt die Kontrolle
Das Analysten-Feedback funktioniert auf die gleiche Weise.
Manchmal ist es nur eine Anleitung. Manchmal ist es eine Übernahme. Der Trick besteht darin, sicherzustellen, dass die Maschine den Unterschied erkennt – und aus beiden lernt.
Der Mensch-augmentierte SOCEntwickelt für Feedback
At Sternen-Cyberautomatisieren wir nicht nur die Alarm-Triage – wir besitzen die voller Zyklus, von Erkennung bis zur ReaktionDas bedeutet, dass wir etwas können, was die meisten Anbieter nicht können:
Lassen Sie das Feedback der Analysten weiterlaufen flussaufwärts Einfluss auf die Erkennungsschicht sich.
Wenn also ein falsch positives Ergebnis entdeckt wird, schließen wir es nicht einfach automatisch – wir können es an der Quelle unterdrücken. Denn Lärmvermeidung ist immer besser als Lärmbekämpfung, unabhängig davon, wie effizient Ihre Triage-Pipeline ist.
Deshalb ist unsere Plattform einzigartig geeignet für Mensch-Augmented Autonom SOC:
- Eines, bei dem der Input des Analysten strukturierte Wirkung
- Wo jeder berechtigte Klick ein Modell optimieren oder eine Regel formen kann
- Und wo Feedback keine Sackgasse ist, sondern Teil des Motors
Letzter Gedanke: Feedback ist Treibstoff
Durch Feedback gewinnt man Vertrauen.
Die Einflusspyramide für Analysten-Feedback hilft uns, dieses Feedback zu priorisieren – und Systeme aufzubauen, die mit dem richtigen Maß an Vertrauen darauf reagieren.
Letztendlich geht es bei Autonomie nicht darum, Menschen zu ersetzen – es geht darum, ihren Input zu respektieren genug, um die Maschine führen zu lassen.
Da die SOC wird nicht von selbst schlauer.
Es wird intelligenter, indem es von seinem besten Lehrer lernt: dem Analytiker, der weiß, wann er anstoßen, wann er übersteuern und wann er dem System beibringen muss, denselben Fehler nicht zweimal zu machen.
