Optymizm wobec Autonomicznego SOC. Realizm w kwestii tego, co nas tam doprowadzi.
Ostatnio dużo mówi się o Autonomiczny SOC — przyszłość, w której maszyny nie tylko ostrzegają, ale także zestawiają, selekcjonują, badają i reagują.
Brzmi fantastycznie, zwłaszcza jeśli kiedykolwiek pracowałeś na nocnej zmianie, zasypany alertami. Ale prawda jest taka: nie można zautomatyzować wszystkiego, jeśli automatyzacja nie polega na uczeniu się od kogoś.
Tym „kimś” jest nadal analityk. I nie tylko po to, by opiekować się maszyną, ale także po to, by… wpłynąć na to w znaczący sposób.
Od bólu MKOl do wpływu analityków
Weterani służb bezpieczeństwa zapamiętają Piramida bólu MKOl, co nauczyło nas, że nie wszystkie wskaźniki są sobie równe — im bardziej abstrakcyjny jest wskaźnik IOC, tym bardziej szkodzi atakującemu po jego wykryciu.
Teraz zastosuj to samo myślenie wewnętrznie:
Nie wszystkie opinie analityków są sobie równe.
Komentarz jest pomocny.
Uzasadniony werdykt, który blokuje przyszłe alerty, ma charakter transformacyjny.
Wprowadźmy zatem nowy model: Piramida wpływu opinii analityków — ramy pozwalające zrozumieć, które rodzaje ingerencji człowieka powodują rzeczywiste zmiany, a które jedynie zdobią interfejs.
Piramida wpływu opinii analityków
Nie wszystkie informacje zwrotne TP/FP są sobie równe
Tutaj liczą się niuanse.
Kliknięcie „Fałszywie pozytywny” bez wypowiedzenia dlaczego or dla kogo to poziom 1. Może pojawić się w raportach, ale nie zmienia systemu.
Teraz dodaj:
„FP, ponieważ powershell.exe jest używany do automatyzacji poprawek na tym hoście.”
Właśnie utworzyłeś opinię na poziomie 4. To może stłumić alert w przyszłości. Lub wywołać wykluczenie wykrywania. Lub ponowne ważenie modelu ML. Teraz jesteś szkolenie systemu.
To coś więcej niż tagowanie — to nauczanie.
Analogia do Tesli: szturchnięcie czy ignorowanie?
- A lekkie popchnięcie kierownicą informuje system, że jesteś zaangażowany
- A mocny chwyt przejmuje kontrolę
Opinie analityków działają w ten sam sposób.
Czasami to tylko wskazówki. Czasami to przejęcie kontroli. Sztuką jest upewnić się, że maszyna potrafi dostrzec różnicę — i wyciągnąć wnioski z obu tych czynników.
Wzbogacony o informacje zwrotne system SOC, stworzony do sprzężenia zwrotnego
At Gwiezdny Cybernie tylko automatyzujemy segregację alarmów — jesteśmy właścicielami pełny cykl, od wykrycie do odpowiedziOznacza to, że możemy zrobić coś, czego większość dostawców nie potrafi:
Pozwól analitykom na podróżowanie pod prąd wpływać na warstwa wykrywania sama.
Kiedy więc wykryjemy fałszywy alarm, nie tylko go automatycznie zamykamy, ale możemy go stłumić u źródła. Ponieważ zapobieganie hałasowi jest zawsze lepsze niż radzenie sobie z hałasemniezależnie od tego, jak wydajny jest Twój proces triażowy.
To właśnie sprawia, że nasza platforma jest wyjątkowo dostosowana do Rozszerzony przez człowieka Autonomiczny SOC:
- Jeden z tych, w którym dane wejściowe analityka mają wpływ strukturalny
- Gdzie każde uzasadnione kliknięcie może dostroić model lub ukształtować regułę
- A tam, gdzie informacja zwrotna nie jest ślepą uliczką, jest część silnika
Ostatnia myśl: Informacja zwrotna to paliwo
Informacja zwrotna to sposób na zdobycie zaufania.
Piramida wpływu opinii analityków pomaga nam nadać priorytet tym informacjom zwrotnym i stworzyć systemy, które będą na ich podstawie działać z odpowiednim poziomem pewności.
Ostatecznie autonomia nie polega na zastępowaniu ludzi, lecz na szanowaniu ich wkładu wystarczająco, aby pozwolić mu prowadzić maszynę.
Ponieważ SOC sam z siebie nie staje się mądrzejszy.
Staje się mądrzejszy, ucząc się od swojego najlepszego nauczyciela: analityka, który wie, kiedy dać sygnał, kiedy zignorować zmiany i kiedy nauczyć system, aby nie popełniał tego samego błędu dwa razy.
