Optimistisch over Autonome SOC. Realistisch over wat ons daar brengt.
Er is de laatste tijd veel gesproken over de Autonome SOC — een toekomst waarin machines niet alleen waarschuwen, maar ook correleren, sorteren, onderzoeken en reageren.
Het klinkt fantastisch, vooral als je ooit de nachtdienst hebt gedraaid, bedolven onder de waarschuwingen. Maar dit is de waarheid: Je kunt niet alles automatiseren, tenzij de automatisering van iemand leert.
Die 'iemand' is nog steeds de analist. En niet alleen om de machine in de gaten te houden, maar om beïnvloeden het op zinvolle manieren.
Van IOC-pijn tot invloed van analisten
Veiligheidsveteranen zullen zich de IOC-pijnpiramide, wat ons leerde dat niet alle indicatoren gelijk zijn: hoe abstracter het IOC, hoe schadelijker het is voor de aanvaller als hij wordt gedetecteerd.
Pas deze gedachte nu ook intern toe:
Ook is niet alle feedback van analisten hetzelfde.
Een opmerking is nuttig.
Een gerechtvaardigd vonnis dat toekomstige waarschuwingen onderdrukt, is transformatief.
Laten we dus een nieuw model introduceren: de Impactpiramide van analistenfeedback — een raamwerk om te begrijpen welke soorten menselijke input echte verandering teweegbrengen, en welke alleen maar de interface verfraaien.
Impactpiramide van analistenfeedback
Niet alle TP/FP-feedback is gelijk
Nuances zijn hierbij van belang.
Klik op “Vals Positief” zonder iets te zeggen Waarom or voor wie is Tier 1. Het kan in rapporten verschijnen, maar het verandert niets aan het systeem.
Voeg nu toe:
“FP omdat powershell.exe wordt gebruikt voor patchautomatisering op deze host.”
Nu heb je Tier 4-feedback gecreëerd. Dat kan onderdrukken de waarschuwing in de toekomst. Of activeer een detectie-uitsluiting. Of een ML-model opnieuw wegen. Nu ben je het trainen van het systeem.
Dit is meer dan taggen - het is onderwijs.
De Tesla-analogie: duwen of overschrijven?
- A lichte duw op het wiel vertelt het systeem dat u bezig bent
- A stevige greep neemt de controle over
Feedback van analisten werkt op dezelfde manier.
Soms is het gewoon een leidraad. Soms is het een overname. De truc is ervoor te zorgen dat de machine het verschil kan zien – en van beide kan leren.
De door mensen verbeterde SOC, gebouwd voor feedback
At Stellaire CyberWe automatiseren niet alleen de triage van waarschuwingen, we zijn ook de eigenaar van de volle cirkel, van detectie tot reactieDat betekent dat we iets kunnen doen wat de meeste leveranciers niet kunnen:
Laat de feedback van analisten reizen stroomopwaarts om invloed uit te oefenen op de detectielaag zelf.
Dus als er een vals-positief resultaat wordt ontdekt, sluiten we het niet alleen automatisch, maar onderdrukken we het bij de bron. Omdat Het voorkomen van lawaai is altijd beter dan het aanpakken van lawaai, ongeacht hoe efficiënt uw triage-pijplijn is.
Dat is wat ons platform uniek geschikt maakt voor een Menselijk-Augmented Autonome SOC:
- Eén waarbij de input van de analist is gestructureerde impact
- Waar elke gerechtvaardigde klik een model kan aanpassen of een regel kan vormgeven
- En waar feedback geen doodlopende weg is, maar een een deel van de motor
Laatste gedachte: Feedback is brandstof
Feedback is de manier waarop vertrouwen verdiend wordt.
Het Impactpiramide van analistenfeedback helpt ons om die feedback te prioriteren en systemen te bouwen die er met het juiste vertrouwen op inspelen.
Uiteindelijk gaat autonomie niet over het vervangen van mensen, maar over het respecteren van hun inbreng. genoeg om de machine te laten leiden.
Omdat het SOC niet vanzelf slimmer wordt.
Het systeem wordt slimmer door te leren van zijn beste leermeester: de analist die weet wanneer hij moet bijsturen, wanneer hij moet doordrukken en wanneer hij het systeem moet leren om dezelfde fout niet twee keer te maken.
