看好自主SOC。务实思考如何才能实现这一目标。
最近有很多关于 自主 SOC — 未来机器不仅能发出警报,还能进行关联、分类、调查和响应。
这听起来很奇妙,尤其是如果你曾经上过夜班,被各种警报淹没过的话。但事实是这样的: 除非自动化能够向某人学习,否则你无法实现一切的自动化。
那个“人”仍然是分析师。而且不仅仅是照看机器——还要 影响它 以有意义的方式。
从国际奥委会之痛到分析师之影响
安全老手们会记得 国际奥委会痛苦金字塔这告诉我们,并非所有指标都是平等的——IOC 越抽象,检测到时对攻击者的伤害就越大。
现在在内部应用同样的思维:
并非所有分析师的反馈都是平等的。
评论很有帮助。
压制未来警报的合理判决具有变革性。
因此,让我们介绍一种新模型: 分析师反馈影响金字塔 — 一个框架,用于了解哪些类型的人类输入能够推动真正的变化,哪些输入只是装饰界面。
分析师反馈影响金字塔
并非所有TP/FP反馈都是平等的
这就是细微差别很重要的地方。
不加说明地点击“误报” 为什么 or 为了谁 是第 1 层。它可能会出现在报告中,但不会改变系统。
现在添加:
“FP因为 powershell.exe 用于此主机上的补丁自动化。”
现在你已经创建了第 4 层反馈。这可以 压制 将来会触发警报。或者触发 检测排除。 或 重新加权 ML 模型.现在你 训练系统。
这不仅仅是标记——这是 教学.
特斯拉类比:推动还是超越?
- A 轻轻推动方向盘 告诉系统你已参与
- A 牢牢抓住 掌控
分析师的反馈也是同样的道理。
有时只是引导,有时则是接管。关键在于确保机器能够分辨出两者的区别,并从中学习。
为反馈而生的人类增强型 SOC
- 分析师的输入 结构化影响
- 每一次合理的点击都可以调整模型或形成规则
- 反馈并不是死路一条——而是 发动机的一部分
最后的想法:反馈是动力
反馈是赢得信任的方式。
这个 分析师反馈影响金字塔 帮助我们优先考虑这些反馈,并建立能够以适当的信心水平采取行动的系统。
最终,自主性并不是为了取代人类,而是为了尊重他们的意见 足以让它引导机器.
因为 SOC 本身不会变得更智能。
它通过向最好的老师学习而变得更聪明:分析师知道何时推动,何时推翻,以及何时教导系统不要犯同样的错误两次。
