Lạc quan về lĩnh vực xe tự lái SOCHiểu rõ thực tế về những gì sẽ giúp chúng ta đạt được mục tiêu.
Gần đây có rất nhiều cuộc nói chuyện về Tự trị SOC — một tương lai mà máy móc không chỉ cảnh báo mà còn có khả năng tương quan, phân loại, điều tra và phản hồi.
Nghe có vẻ tuyệt vời, đặc biệt nếu bạn đã từng làm ca đêm trong tình trạng ngập chìm trong các cảnh báo. Nhưng sự thật là: bạn không thể tự động hóa mọi thứ trừ khi quá trình tự động hóa đó học hỏi từ ai đó.
"Ai đó" đó vẫn là nhà phân tích. Và không chỉ để trông coi máy móc — mà còn để ảnh hưởng đến nó theo những cách có ý nghĩa.
Từ nỗi đau của IOC đến ảnh hưởng của các nhà phân tích
Các cựu chiến binh an ninh sẽ nhớ Kim tự tháp đau đớn của IOC, điều này dạy chúng ta rằng không phải tất cả các chỉ số đều như nhau — IOC càng trừu tượng thì kẻ tấn công càng bị tổn hại khi bị phát hiện.
Bây giờ hãy áp dụng suy nghĩ tương tự vào bên trong:
Không phải mọi phản hồi của nhà phân tích đều như nhau.
Bình luận sẽ hữu ích.
Một phán quyết hợp lý giúp ngăn chặn các cảnh báo trong tương lai sẽ mang tính chuyển đổi.
Vì vậy, chúng ta hãy giới thiệu một mô hình mới: Kim tự tháp tác động phản hồi của nhà phân tích — một khuôn khổ để hiểu loại đầu vào nào của con người thúc đẩy sự thay đổi thực sự và loại nào chỉ trang trí giao diện.
Kim tự tháp tác động phản hồi của nhà phân tích
Không phải tất cả phản hồi TP/FP đều như nhau
Đây chính là lúc sự tinh tế trở nên quan trọng.
Nhấp vào "Dương tính giả" mà không nói tại sao or cho ai là Bậc 1. Nó có thể hiển thị trong báo cáo, nhưng nó không thay đổi hệ thống.
Bây giờ thêm:
“FP vì powershell.exe được sử dụng để tự động vá lỗi trên máy chủ này.”
Bây giờ bạn đã tạo ra phản hồi Cấp 4. Điều đó có thể đàn áp cảnh báo trong tương lai. Hoặc kích hoạt một loại trừ phát hiện. Hoặc cân nhắc lại mô hình ML. Bây giờ bạn đang đào tạo hệ thống.
Đây không chỉ là gắn thẻ — nó là giảng dạy.
Phép so sánh với Tesla: Thúc đẩy hay Ghi đè?
- A đẩy nhẹ vào vô lăng cho hệ thống biết bạn đang tham gia
- A nắm chặt nắm quyền kiểm soát
Phản hồi của nhà phân tích cũng hoạt động theo cách tương tự.
Đôi khi chỉ là hướng dẫn. Đôi khi là sự tiếp quản. Bí quyết là đảm bảo máy móc có thể phân biệt được sự khác biệt — và học hỏi từ cả hai.
Con người được tăng cường SOCĐược xây dựng dựa trên phản hồi.
At sao điện tử, chúng tôi không chỉ tự động phân loại cảnh báo — chúng tôi sở hữu toan chu ky, Từ phát hiện để phản ứng. Điều đó có nghĩa là chúng tôi có thể làm được điều mà hầu hết các nhà cung cấp không thể làm được:
Hãy để phản hồi của nhà phân tích lan truyền Thượng nguồn để ảnh hưởng đến lớp phát hiện chính nó.
Vì vậy, khi phát hiện ra kết quả dương tính giả, chúng tôi không chỉ tự động đóng nó lại mà còn có thể ngăn chặn nó ngay từ nguồn. Bởi vì ngăn ngừa tiếng ồn luôn tốt hơn là xử lý tiếng ồn, bất kể quy trình phân loại của bạn hiệu quả đến đâu.
Đó là điều làm cho nền tảng của chúng tôi trở nên phù hợp một cách độc đáo cho Tăng cường con người Tự trị SOC:
- Một nơi mà đầu vào của nhà phân tích đã tác động có cấu trúc
- Nơi mà mỗi cú nhấp chuột hợp lý có thể điều chỉnh một mô hình hoặc định hình một quy tắc
- Và nơi phản hồi không phải là ngõ cụt — nó là một phần của động cơ
Suy nghĩ cuối cùng: Phản hồi là nhiên liệu
Phản hồi là cách tạo dựng lòng tin.
Kim tự tháp tác động phản hồi của nhà phân tích giúp chúng tôi ưu tiên phản hồi đó — và xây dựng các hệ thống hoạt động dựa trên phản hồi đó với mức độ tin cậy phù hợp.
Cuối cùng, quyền tự chủ không phải là thay thế con người - mà là tôn trọng ý kiến đóng góp của họ đủ để nó dẫn đường cho máy.
Bởi vì SOC Nó không tự nhiên trở nên thông minh hơn.
Hệ thống trở nên thông minh hơn nhờ học hỏi từ người thầy giỏi nhất: nhà phân tích biết khi nào cần thúc đẩy, khi nào cần bác bỏ và khi nào cần dạy hệ thống không mắc lại cùng một lỗi.
