มองในแง่ดีต่อ SOC อัตโนมัติ มองเห็นความเป็นจริงว่าอะไรจะนำเราไปสู่เป้าหมายนั้น
มีการพูดคุยมากมายในช่วงหลังเกี่ยวกับเรื่องนี้ SOC อัตโนมัติ — อนาคตที่เครื่องจักรไม่เพียงแต่แจ้งเตือนแต่ยังเชื่อมโยง แบ่งประเภท ตรวจสอบ และตอบสนองอีกด้วย
ฟังดูยอดเยี่ยมมาก โดยเฉพาะถ้าคุณเคยทำงานกะกลางคืนโดยเจอแต่การแจ้งเตือน แต่ความจริงก็คือ: คุณไม่สามารถทำให้ทุกอย่างเป็นอัตโนมัติได้ เว้นแต่ระบบอัตโนมัติจะเรียนรู้จากใครบางคน
“ใครบางคน” นั้นยังคงเป็นนักวิเคราะห์ และไม่ใช่แค่คอยดูแลเครื่องจักรเท่านั้น แต่เพื่อ มีอิทธิพลต่อมัน ในทางที่มีความหมาย
จากความเจ็บปวดของ IOC สู่อิทธิพลของนักวิเคราะห์
เหล่าทหารผ่านศึกจะจดจำ พีระมิดแห่งความเจ็บปวดของ IOCซึ่งสอนให้เรารู้ว่าตัวบ่งชี้ไม่ได้เท่ากันหมด ยิ่ง IOC เป็นนามธรรมมากเท่าไร ก็ยิ่งสร้างความเสียหายให้กับผู้โจมตีมากขึ้นเท่านั้นเมื่อถูกตรวจพบ
ตอนนี้ใช้ความคิดแบบเดียวกันนี้ภายใน:
ข้อเสนอแนะจากนักวิเคราะห์ก็ไม่ได้เท่าเทียมกันทั้งหมด
ความคิดเห็นเป็นประโยชน์
คำตัดสินที่สมเหตุสมผลที่ระงับการแจ้งเตือนในอนาคตถือเป็นการเปลี่ยนแปลง
ดังนั้นเรามาแนะนำโมเดลใหม่กัน: พีระมิดผลกระทบต่อความคิดเห็นของนักวิเคราะห์ กรอบการทำงานเพื่อทำความเข้าใจว่าอินพุตประเภทใดของมนุษย์ที่ขับเคลื่อนการเปลี่ยนแปลงที่แท้จริง และอินพุตประเภทใดที่เพียงแค่ตกแต่งอินเทอร์เฟซเท่านั้น
พีระมิดผลกระทบต่อความคิดเห็นของนักวิเคราะห์
ข้อเสนอแนะ TP/FP ไม่ได้เท่าเทียมกันทั้งหมด
ตรงนี้คือจุดที่ความแตกต่างมีความสำคัญ
การคลิก “ผลบวกปลอม” โดยไม่พูด ทำไม or เพื่อใคร เป็นระดับ 1 อาจปรากฏในรายงาน แต่จะไม่เปลี่ยนแปลงระบบ
ตอนนี้เพิ่ม:
“FP เพราะว่า powershell.exe ใช้สำหรับการทำงานอัตโนมัติของแพทช์บนโฮสต์นี้”
ตอนนี้คุณได้สร้างข้อเสนอแนะระดับ 4 แล้ว ซึ่งสามารถ ปราบปราม การแจ้งเตือนในอนาคต หรือทริกเกอร์ การแยกการตรวจจับ. หรือ ชั่งน้ำหนักโมเดล ML ใหม่ตอนนี้คุณ การฝึกอบรมระบบ
นี่เป็นมากกว่าการแท็ก — มันคือ การเรียนการสอน.
การเปรียบเทียบกับ Tesla: กระตุ้นหรือขัดขวาง?
- A สะกิดเบาๆ บนล้อ แจ้งให้ระบบทราบว่าคุณกำลังมีส่วนร่วม
- A คว้าแน่น เข้าควบคุม
ข้อเสนอแนะของนักวิเคราะห์ก็ทำงานในลักษณะเดียวกัน
บางครั้งมันก็เป็นแค่คำแนะนำ บางครั้งก็เป็นการยึดครอง เคล็ดลับคือการทำให้แน่ใจว่าเครื่องจักรสามารถแยกแยะความแตกต่างได้ และเรียนรู้จากทั้งสองสิ่ง
SOC ที่ได้รับการเสริมพลังโดยมนุษย์ สร้างขึ้นเพื่อการตอบรับ
At สเตลลาร์ไซเบอร์เราไม่ได้แค่ทำการคัดแยกการแจ้งเตือนโดยอัตโนมัติเท่านั้น — เราเป็นเจ้าของ ครบวงจรตั้งแต่เวลา การตรวจจับเพื่อการตอบสนองนั่นหมายความว่าเราสามารถทำบางอย่างที่ผู้ขายส่วนใหญ่ทำไม่ได้:
ให้ความคิดเห็นของนักวิเคราะห์เดินทาง ต้นน้ำลำธาร เพื่อมีอิทธิพลต่อ ชั้นการตรวจจับ ตัวเอง
ดังนั้นเมื่อตรวจพบผลบวกปลอม เราจะไม่เพียงแค่ปิดมันโดยอัตโนมัติ แต่เราสามารถยับยั้งมันที่ต้นเหตุได้ เพราะ การป้องกันเสียงรบกวนย่อมดีกว่าการจัดการเสียงรบกวนเสมอไม่ว่าระบบการคัดกรองของคุณจะมีประสิทธิภาพเพียงใด
นั่นคือสิ่งที่ทำให้แพลตฟอร์มของเรามีความเหมาะสมเป็นพิเศษสำหรับ เสริมด้วยมนุษย์ SOC อัตโนมัติ:
- อันหนึ่งที่นักวิเคราะห์ได้ใส่ข้อมูลเข้าไป ผลกระทบที่มีโครงสร้าง
- โดยที่การคลิกที่ถูกต้องทุกครั้งจะสามารถปรับแต่งโมเดลหรือกำหนดกฎเกณฑ์ได้
- และเมื่อการตอบรับไม่ใช่ทางตัน — มันคือ ส่วนหนึ่งของเครื่องยนต์
ความคิดสุดท้าย: ข้อเสนอแนะคือเชื้อเพลิง
การตอบรับคือวิธีสร้างความไว้วางใจ
การขอ พีระมิดผลกระทบต่อความคิดเห็นของนักวิเคราะห์ ช่วยให้เราจัดลำดับความสำคัญของการตอบรับและสร้างระบบที่ดำเนินการตามนั้นด้วยความมั่นใจในระดับที่เหมาะสม
ท้ายที่สุดแล้ว ความเป็นอิสระไม่ได้หมายถึงการแทนที่มนุษย์ แต่หมายถึงการเคารพข้อมูลที่พวกเขาป้อน เพียงพอที่จะให้มันนำทางเครื่องได้.
เพราะ SOC ไม่ได้ฉลาดขึ้นเอง
ระบบจะฉลาดขึ้นโดยการเรียนรู้จากครูที่ดีที่สุด: นักวิเคราะห์ที่รู้ว่าเมื่อใดควรกระตุ้น เมื่อใดควรควบคุม และเมื่อใดควรสอนระบบไม่ให้ทำผิดซ้ำสอง
