Malakas ang loob sa Autonomous SOCRealista tungkol sa kung ano ang magdadala sa atin doon.
Nagkaroon ng maraming pag-uusap kamakailan tungkol sa Autonomous SOC — isang kinabukasan kung saan ang mga makina ay hindi lamang alerto ngunit nag-uugnay, nagsusuri, nag-iimbestiga, at tumutugon.
Napakaganda nito, lalo na kung nagtrabaho ka na sa night shift na nakabaon sa mga alerto. Ngunit narito ang katotohanan: hindi mo maaaring i-automate ang lahat maliban kung ang automation ay natututo mula sa isang tao.
Ang "isang tao" pa rin ang analyst. At hindi lang para alagaan ang makina — kundi para impluwensyahan ito sa mga makabuluhang paraan.
Mula sa IOC Pain hanggang sa Impluwensya ng Analyst
Tatandaan ng mga beterano ng seguridad ang IOC Pyramid of Pain, na nagturo sa amin na hindi lahat ng indicator ay pantay-pantay — kung mas abstract ang IOC, mas masasaktan ang umaatake kapag natukoy.
Ngayon ilapat ang parehong pag-iisip sa loob:
Hindi rin lahat ng feedback ng analyst ay pantay.
Nakakatulong ang isang komento.
Ang isang makatwirang hatol na pumipigil sa mga alerto sa hinaharap ay nagbabago.
Kaya, ipakilala natin ang isang bagong modelo: ang Feedback ng Analyst na Epekto ng Pyramid — isang balangkas upang maunawaan kung aling mga uri ng input ng tao ang nagtutulak ng tunay na pagbabago, at kung alin ang nagpapalamuti lamang sa interface.
Feedback ng Analyst na Epekto ng Pyramid
Hindi Lahat ng Feedback ng TP/FP ay Pantay
Dito mahalaga ang nuance.
Ang pag-click sa "False Positive" nang hindi sinasabi bakit or para kanino ay Tier 1. Maaaring lumabas ito sa mga ulat, ngunit hindi nito binabago ang system.
Ngayon idagdag:
“FP kasi powershell.exe ay ginagamit para sa patch automation sa host na ito.”
Ngayon ay nakagawa ka na ng Tier 4 na feedback. pwede yan sugpuin ang alerto sa hinaharap. O trigger a pagbubukod ng pagtuklas. O timbangin muli ang isang modelo ng ML. Ngayon ikaw na pagsasanay sa sistema.
Ito ay higit pa sa pag-tag — ito ay pagtuturo.
Ang Tesla Analogy: Nudge o Override?
- A mahinang siko sa manibela nagsasabi sa system na nakikipag-ugnayan ka
- A mahigpit na grab tumatagal ng kontrol
Ang feedback ng analyst ay gumagana sa parehong paraan.
Minsan guidance lang. Minsan ito ay isang pagkuha. Ang trick ay upang matiyak na ang makina ay maaaring sabihin ang pagkakaiba - at matuto mula sa pareho.
Ang Pinalaki ng Tao SOC, Ginawa para sa Feedback
At Stellar Cyber, hindi lang namin ino-automate ang alert triage — pagmamay-ari namin ang buong siklo, Mula pagtuklas sa tugon. Nangangahulugan iyon na magagawa namin ang isang bagay na hindi magagawa ng karamihan sa mga vendor:
Hayaang maglakbay ang feedback ng analyst salungat sa agos upang maimpluwensyahan ang layer ng pagtuklas mismo.
Kaya kapag may nakitang maling positibo, hindi lang namin ito awtomatikong isinasara — maaari naming sugpuin ito sa pinagmulan. kasi Ang pagpigil sa ingay ay palaging mas mahusay kaysa sa paghawak ng ingay, gaano man kahusay ang iyong triage pipeline.
Iyan ang dahilan kung bakit katangi-tanging angkop ang aming platform para sa isang Human-Agmented Autonomous SOC:
- Isa kung saan mayroon ang input ng analyst nakabalangkas na epekto
- Kung saan ang bawat makatwirang pag-click ay maaaring mag-tune ng isang modelo o bumuo ng isang panuntunan
- At kung saan ang feedback ay hindi isang dead end — ito ay bahagi ng makina
Pangwakas na Pag-iisip: Ang Feedback ay Gatong
Ang feedback ay kung paano nakukuha ang tiwala.
Ang Feedback ng Analyst na Epekto ng Pyramid tumutulong sa amin na bigyang-priyoridad ang feedback na iyon — at bumuo ng mga system na kumikilos dito nang may tamang antas ng kumpiyansa.
Sa huli, ang awtonomiya ay hindi tungkol sa pagpapalit ng mga tao — ito ay tungkol sa paggalang sa kanilang input sapat na upang hayaan itong gabayan ang makina.
Dahil ang SOC hindi nagiging mas matalino nang mag-isa.
Nagiging mas matalino ito sa pamamagitan ng pag-aaral mula sa pinakamahusay na guro nito: ang analyst na nakakaalam kung kailan dapat itulak, kailan mag-o-override, at kung kailan ituturo sa system na huwag gumawa ng parehong pagkakamali nang dalawang beses.
