Optimista sobre la autonomía SOC. Realistas en cuanto a lo que nos lleva hasta allí.
Se ha hablado mucho últimamente sobre el Autónomo SOC — un futuro donde las máquinas no sólo alertarán, sino que correlacionarán, clasificarán, investigarán y responderán.
Suena fantástico, sobre todo si alguna vez has trabajado en el turno de noche, entre alertas. Pero aquí está la verdad: No se puede automatizar todo a menos que la automatización aprenda de alguien.
Ese "alguien" sigue siendo el analista. Y no solo para cuidar la máquina, sino para... influir en él de manera significativa.
Del dolor del COI a la influencia del analista
Los veteranos de seguridad recordarán el Pirámide del dolor del COI, lo que nos enseñó que no todos los indicadores son iguales: cuanto más abstracto sea el IOC, más daño le causa al atacante cuando lo detecta.
Ahora aplique el mismo pensamiento internamente:
No todos los comentarios de los analistas son iguales.
Un comentario es útil.
Un veredicto justificado que suprima futuras alertas es transformador.
Así pues, vamos a presentar un nuevo modelo: el Pirámide del impacto de la retroalimentación del analista — un marco para comprender qué tipos de intervención humana impulsan un cambio real y cuáles simplemente decoran la interfaz.
Pirámide del impacto de la retroalimentación del analista
No todos los comentarios de TP/FP son iguales
Aquí es donde el matiz importa.
Hacer clic en “Falso positivo” sin decir nada por qué or para quien Es de nivel 1. Puede aparecer en los informes, pero no cambia el sistema.
Ahora agregue:
“FP porque powershell.exe Se utiliza para la automatización de parches en este host”.
Ahora has creado comentarios de nivel 4. Eso puede reprimir la alerta en el futuro. O activar una exclusión de detección. O reponderar un modelo MLAhora eres entrenando el sistema.
Esto es más que etiquetar: es TRAYECTORIA.
La analogía de Tesla: ¿Empujón o anulación?
- A ligero empujón en el volante Le dice al sistema que estás comprometido
- A agarre firme toma el control
La retroalimentación de los analistas funciona de la misma manera.
A veces es solo una guía. A veces es una toma de control. La clave está en asegurarse de que la máquina pueda distinguir la diferencia y aprender de ambas.
El humano aumentado SOCCreado para recibir comentarios
At Stellar CyberNo solo automatizamos la clasificación de alertas, sino que somos dueños de la Ciclo completo, de Detección a respuestaEso significa que podemos hacer algo que la mayoría de los proveedores no pueden:
Deje que la retroalimentación de los analistas viaje río arriba para influir en el capa de detección misma.
Entonces, cuando se detecta un falso positivo, no solo lo cerramos automáticamente, sino que podemos suprimirlo desde su origen. Porque Prevenir el ruido siempre es mejor que controlarlo, sin importar cuán eficiente sea su proceso de triaje.
Eso es lo que hace que nuestra plataforma sea especialmente adecuada para una Aumentado por humanos Autónomo SOC:
- Uno en el que la aportación del analista tiene impacto estructurado
- Dónde cada clic justificado puede ajustar un modelo o dar forma a una regla
- Y donde la retroalimentación no es un callejón sin salida, es parte del motor
Reflexión final: La retroalimentación es combustible
La retroalimentación es la forma de ganar la confianza.
El Pirámide del impacto de la retroalimentación del analista Nos ayuda a priorizar esa retroalimentación y a crear sistemas que actúen en consecuencia con el nivel adecuado de confianza.
Al final, la autonomía no se trata de reemplazar a los humanos, sino de respetar sus aportes. suficiente para dejar que guíe la máquina.
Debido a que el SOC No se vuelve más inteligente por sí solo.
Se vuelve más inteligente al aprender de su mejor maestro: el analista que sabe cuándo dar un empujón, cuándo anularlo y cuándo enseñarle al sistema a no cometer el mismo error dos veces.
