Оптимістично налаштовані щодо автономної економіки SOCРеаліст щодо того, що нас туди приведе.
Останнім часом багато говорять про те, Автономний SOC — майбутнє, де машини не лише попереджають, а й співвідносять, сортують, розслідують та реагують.
Звучить фантастично, особливо якщо ви коли-небудь працювали в нічну зміну, поховані в сповіщеннях. Але ось правда: Ви не можете автоматизувати все, якщо автоматизація не навчається у когось.
Цей «хтось» все ще є аналітиком. І не просто для того, щоб няньчити машину, а для того, щоб… впливати на це значущими способами.
Від болю МОК до впливу аналітиків
Ветерани служби безпеки пам'ятатимуть Піраміда болю МОК, що навчило нас, що не всі показники однакові — чим абстрактніший IOC, тим більше шкодить зловмиснику, коли його виявлять.
Тепер застосуйте те саме мислення до себе:
Не всі відгуки аналітиків також однакові.
Коментар корисний.
Обґрунтований вердикт, який пригнічує майбутні сповіщення, є трансформаційним.
Отже, давайте представимо нову модель: Піраміда впливу аналітичного зворотного зв'язку — фреймворк для розуміння того, які типи людського внеску призводять до реальних змін, а які лише прикрашають інтерфейс.
Піраміда впливу аналітичного зворотного зв'язку
Не всі зворотні зв'язки TP/FP однакові
Ось тут важливі нюанси.
Натискання кнопки «Хибнопозитивний результат» без відповідей чому or для кого це Рівень 1. Це може відображатися у звітах, але це не змінює систему.
Тепер додайте:
«FP, тому що powershell.exe використовується для автоматизації виправлень на цьому хості.
Тепер ви створили зворотний зв'язок 4-го рівня. Це може пригнічувати сповіщення в майбутньому. Або запустити виключення виявлення. Або переважити модель машинного навчанняТепер ти навчання системи.
Це більше, ніж просто тегування — це навчання.
Аналогія з Теслою: підштовхування чи перевизначення?
- A легкий поштовх по керму повідомляє системі, що ви залучені
- A міцний хват бере під контроль
Зворотній зв'язок аналітиків працює так само.
Іноді це просто керівництво. Іноді це перехоплення. Секрет полягає в тому, щоб переконатися, що машина може розпізнати різницю — і вчитися з обох.
Доповнений людиною SOC, Створено для зворотного зв'язку
At Зоряний кібер, ми не просто автоматизуємо сортування тривог — ми відповідаємо за повний цикл, з виявлення до реагуванняЦе означає, що ми можемо зробити те, що більшість постачальників не можуть:
Нехай відгуки аналітиків поширюються вгору за течією впливати на шар виявлення себе.
Тож, коли виявляється хибнопозитивний результат, ми не просто автоматично його закриваємо — ми можемо придушити його в джерелі. запобігання шуму завжди краще, ніж боротьба з ним, незалежно від того, наскільки ефективним є ваш процес сортування.
Саме це робить нашу платформу унікально придатною для Доповнений людиною Автономний SOC:
- Той, де внесок аналітика структурований вплив
- Де кожен виправданий клік може налаштувати модель або сформувати правило
- І там, де зворотний зв'язок не є глухим кутом — це частина двигуна
Заключна думка: Зворотній зв'язок – це паливо
Зворотній зв'язок – це спосіб заслужити довіру.
Команда Піраміда впливу аналітичного зворотного зв'язку допомагає нам пріоритезувати цей зворотний зв'язок і створювати системи, які реагують на нього з належним рівнем впевненості.
Зрештою, автономія полягає не в заміні людей, а в повазі до їхнього внеску. достатньо, щоб дозволити йому керувати машиною.
Тому що SOC сам по собі розумнішим не стає.
Він стає розумнішим, навчаючись у свого найкращого вчителя: аналітика, який знає, коли підштовхнути, коли переоцінити та коли навчити систему не робити ту саму помилку двічі.
