自動運転に強気 SOC. そこに到達する方法について現実的に考える。
最近、 自律 SOC 機械が警告するだけでなく、相関関係を調べ、優先順位を付け、調査し、対応する未来です。
素晴らしいように聞こえます。特に、アラートに埋もれながら夜勤を経験したことがある人にとっては。しかし、真実はこうです。 自動化が誰かから学習しない限り、すべてを自動化することはできません。
その「誰か」とは、やはりアナリストです。機械の世話をするだけでなく、 影響を与える 意味のある方法で。
IOCの苦悩からアナリストの影響力へ
セキュリティのベテランは、 IOCの苦痛のピラミッドこのことから、すべての指標が同等というわけではないことがわかりました。IOC が抽象的であればあるほど、攻撃者が検出したときに受けるダメージが大きくなります。
同じ考え方を社内に適用してみましょう。
アナリストからのフィードバックもすべて同じというわけではありません。
コメントは役に立ちます。
将来の警告を抑制する正当な判決は変革をもたらします。
そこで、新しいモデルを紹介しましょう。 アナリストフィードバック影響ピラミッド — 人間の入力の種類が実際に変化をもたらし、どれが単にインターフェースを装飾するだけであるかを理解するためのフレームワークです。
アナリストフィードバック影響ピラミッド
すべてのTP/FPフィードバックが同じではない
ここでニュアンスが重要になります。
何も言わずに「誤検知」をクリックする 現在も将来も、 or 誰のため Tier 1 です。レポートに表示される可能性がありますが、システムは変更されません。
次に以下を追加します:
「FPは powershell.exe このホストのパッチ自動化に使用されます。」
これでTier 4フィードバックが作成されました。 抑える 将来アラートを発動するか、 検出除外。 または MLモデルの重み付けを変更する。今あなたは システムをトレーニングします。
これは単なるタグ付け以上のもので、 教える.
テスラのアナロジー: 微調整かオーバーライドか?
- A ホイールを軽く押す システムにあなたが関与していることを伝える
- A しっかりと掴む 制御を取る
アナリストのフィードバックも同様に機能します。
時には単なる誘導、時には乗っ取り。重要なのは、機械がその違いを認識できるようにし、両方から学習できるようにすることです。
人間を拡張した SOCフィードバックのために構築
- アナリストの意見が 構造化された影響
- あらゆる正当なクリックがモデルを調整したりルールを形作ったりできる場所
- そして、フィードバックは行き止まりではなく、 エンジンの一部
最終的な考え: フィードバックは燃料です
フィードバックは信頼を獲得する方法です。
その アナリストフィードバック影響ピラミッド フィードバックの優先順位付けと、適切なレベルの信頼度でそれに対応するシステムの構築に役立ちます。
結局のところ、自律性とは人間を置き換えることではなく、人間の意見を尊重することである。 機械を誘導するのに十分な.
から SOC それ自体では賢くなることはありません。
システムは、最良の教師、つまりいつ促すべきか、いつ無視すべきか、そして、同じ間違いを二度と繰り返さないようにシステムに教えるべき時を知っているアナリストから学ぶことで、より賢くなります。
