Optimisme concernant Autonomous SOC.Réaliste quant à ce qui nous permet d'y parvenir.
On a beaucoup parlé ces derniers temps de la Autonome SOC — un avenir où les machines ne se contentent pas d’alerter, mais établissent des corrélations, trient, enquêtent et réagissent.
Cela paraît fantastique, surtout si vous avez déjà travaillé de nuit, submergé par les alertes. Mais voici la vérité : vous ne pouvez pas tout automatiser à moins que l'automatisation ne soit apprise de quelqu'un.
Ce « quelqu'un » reste l'analyste. Et pas seulement pour surveiller la machine, mais pour l'influencer de manière significative.
De la douleur du CIO à l'influence des analystes
Les vétérans de la sécurité se souviendront de Pyramide de la douleur du CIO, ce qui nous a appris que tous les indicateurs ne sont pas égaux : plus l’IOC est abstrait, plus il nuit à l’attaquant lorsqu’il est détecté.
Appliquez maintenant le même raisonnement en interne :
Tous les retours d’analystes ne sont pas égaux non plus.
Un commentaire est utile.
Un verdict justifié qui supprime les alertes futures est transformateur.
Alors, introduisons un nouveau modèle : le Pyramide d'impact des commentaires des analystes — un cadre permettant de comprendre quels types d’interventions humaines conduisent à un véritable changement et lesquels ne font qu’agrémenter l’interface.
Pyramide d'impact des commentaires des analystes
Tous les retours TP/FP ne sont pas égaux
C'est ici que la nuance compte.
Cliquer sur « Faux positif » sans dire why or pour qui est de niveau 1. Cela peut apparaître dans les rapports, mais cela ne change pas le système.
Ajoutez maintenant :
« FP parce que powershell.exe est utilisé pour l'automatisation des correctifs sur cet hôte. »
Vous avez maintenant créé un feedback de niveau 4. Cela peut supprimer l'alerte à l'avenir. Ou déclencher une détection exclusion. Ou repondérer un modèle ML. Maintenant tu es formation du système.
C'est plus que du marquage, c'est l'enseignement.
L'analogie avec Tesla : un coup de pouce ou un dépassement ?
- A un léger coup de volant indique au système que vous êtes engagé
- A prise ferme prend le contrôle
Le feedback des analystes fonctionne de la même manière.
Parfois, il s'agit simplement d'une orientation. Parfois, c'est une prise de contrôle. L'astuce consiste à s'assurer que la machine puisse faire la différence et apprendre des deux.
L'humain augmenté SOCConçu pour recueillir des commentaires
At Cyber stellaire, nous n'automatisons pas seulement le tri des alertes — nous possédons le cycle complet, de de la détection à la réponseCela signifie que nous pouvons faire quelque chose que la plupart des fournisseurs ne peuvent pas faire :
Laissez voyager les commentaires des analystes en amont pour influencer le couche de détection elle-même.
Ainsi, lorsqu'un faux positif est détecté, nous ne le fermons pas automatiquement : nous pouvons le supprimer à la source. prévenir le bruit est toujours mieux que de gérer le bruit, quelle que soit l’efficacité de votre pipeline de triage.
C'est ce qui rend notre plateforme particulièrement adaptée à un Humain augmenté Autonome SOC:
- Un endroit où l'apport de l'analyste a impact structuré
- Là où chaque clic justifié peut ajuster un modèle ou façonner une règle
- Et là où le feedback n’est pas une impasse, c’est une partie du moteur
Réflexion finale : le feedback est un carburant
Le feedback est la façon dont la confiance est gagnée.
Construction Pyramide d'impact des commentaires des analystes Cela nous aide à prioriser ces commentaires et à créer des systèmes qui agissent en conséquence avec le bon niveau de confiance.
En fin de compte, l’autonomie ne consiste pas à remplacer les humains, mais à respecter leur contribution. assez pour le laisser guider la machine.
Parce que le SOC ne devient pas plus intelligent tout seul.
Il devient plus intelligent en apprenant de son meilleur professeur : l’analyste qui sait quand donner un coup de pouce, quand passer outre et quand apprendre au système à ne pas faire deux fois la même erreur.
