在人工智能 (AI) 正在革新包括网络安全在内的各个领域的时代,掌握 AI 已不再是可选项,而是必需品。正如谚语所说,“AI 不会取代你,但使用 AI 的人会。” 在 Stellar Cyber,我们秉持这一理念,将 AI 集成到我们安全运营中心 (SOC) 的各个方面。SOC) 旨在最大限度提高威胁检测效力、运营效率和用户体验的解决方案。
最大化威胁检测效率
自 2015 年成立以来,我们一直走在安全运营 (SecOps) 领域人工智能应用的前沿。我们的使命始终是让所有人都能轻松进行检测和响应,同时确保所有数据,无论其来源如何,都能实时利用。这一愿景已转化为如今的开放式扩展检测与响应 (Open Extended Detection and Response)。Open XDR)。 我们的 Open XDR 该解决方案可从任何来源摄取安全数据,确保全面可视性并实现强大的威胁检测能力。通过利用无监督机器学习,我们增强了检测模型,使其能够识别传统方法可能遗漏的复杂行为模式和异常情况。我们还利用监督式机器学习来检测具有已知模式(例如领域生成算法 (DGA))的威胁。在当今日益复杂的多阶段攻击频发的威胁形势下,这些基于机器学习的检测至关重要。
通过关联、GraphML 和以案例为中心的管理提高运营效率
在 Stellar Cyber,我们利用图机器学习 (GraphML) 通过复杂的告警关联来提升安全运营效率,从而最大限度地提高运营效率。这种方法能够显著减少噪音,整合案例并增强安全性。 SOC 分析人员需要处理更丰富的信息,而不是被大量的单独警报所淹没。这显著提高了分析人员确定威胁优先级、调查和应对能力。
利用相似性和相关性
GraphML 擅长识别网络中各个实体之间的相似性和相关性。通过映射数据点之间的关系,GraphML 有助于检测可能被忽视的模式。例如,它可以连接:
- 用户实体: 例如会话 ID、安全标识符 (SID) 和用户主体名称 (UPN),它们可以链接在一起以检测可疑的用户行为。
- 设备实体: 包括设备 ID、文件名、文件夹和注册表项。跨设备关联活动可以检测跨多个端点的复杂恶意活动。
- 电子邮件实体: 例如发件人和收件人的地址、网址和附件。通过关联电子邮件流量, SOC 分析人员可以检测出网络钓鱼攻击或基于电子邮件的攻击。
- 通用实体: 例如 IP 地址、云资源和应用程序 ID。关联这些数据点有助于发现穿越网络和云环境的协同攻击。
这种相似性分析能够实现智能、及时的关联。而不是一味地进行信息轰炸 SOC 对于收到孤立警报的团队,我们的系统会将相关的警报分组到案例中,从而展现更全面的信息,使确定优先级和采取行动变得更加容易。
通过基于图形的表示分析因果关系
GraphML 还支持因果关系分析,这对于理解复杂的多阶段攻击至关重要。通过分析基于图形的事件数据表示,我们的系统可以发现警报之间的潜在因果关系。例如,网络钓鱼电子邮件可能会导致端点受到攻击,然后在您的网络中进行横向移动。
这种因果分析允许 SOC 分析人员可以通过可视化事件之间的关系来追踪攻击的进展并了解事件顺序,从而更有效地应对攻击。通过将事件之间的关系可视化,分析人员可以将整个攻击流程作为一个整体案例进行管理,而不是孤立地处理单个警报。
这种因果分析允许 SOC 分析人员可以通过可视化事件之间的关系来追踪攻击的进展并了解事件顺序,从而更有效地应对攻击。通过将事件之间的关系可视化,分析人员可以将整个攻击流程作为一个整体案例进行管理,而不是孤立地处理单个警报。
实际应用:
在实际场景中,例如下面的例子,我们的 XDR 该系统采用 GraphML 技术,根据资产或属性等共享属性自动关联警报。例如,在主机上检测到钓鱼 URL 会发现可疑的 Windows 进程创建和命令行执行,所有这些都构成一个更大、更复杂的攻击模式的一部分。
GraphML 的实际应用:
- 警报的自动关联: 通过自动关联具有共同元素的警报,例如来自同一主机 (192.168.56.23) 或涉及相同实体 (bravos、daenerys.targaryen),GraphML 简化了分析。这有助于在无需人工干预的情况下围绕攻击构建连贯的叙述。
- 攻击媒介的整体视图: 我们提供的图表视图 XDR 该平台展示了各种警报之间的联系,例如可疑进程创建和命令行操作,这些操作会导致使用 PowerShell 脚本,而这些都是复杂恶意软件攻击中的典型行为。
- 提高分类效率: 借助 GraphML, SOC 分析人员不再被孤立的警报所困扰,而是可以查看恶意活动的关联图谱,从而加快分类处理流程。这有助于更快地隔离和修复威胁,进而减轻潜在损害。
获得的运营效益:
- 简化的检测工作流程: 通过向分析师提供更高级别的链接警报构造,GraphML 有助于更快、更准确地检测威胁,从而减少手动关联所需的时间。
- 减少警报疲劳: 这项技术显著减少了需要单独关注的警报数量,减少了警报疲劳,使分析师能够专注于真正重要的警报。
- 主动威胁搜寻: 主动可视化和关联攻击模式的能力有助于根据观察到的行为预测未来的潜在攻击,从而增强整体安全态势。
通过利用 GraphML 在类似上述示例所示的复杂场景中进行警报关联,我们的系统不仅确保了运行效率,还加强了安全基础设施,抵御多方面的网络威胁。这种集成方法确保了: SOC 各团队都配备了有效应对现代网络挑战所需的工具。
利用生成式人工智能加速威胁调查
我们还致力于通过集成生成式 AI 来优化用户体验。想象一下一个聊天机器人,它允许安全分析师使用自然语言与系统和数据进行交互。此功能与 ChatGPT 类似,但专门用于安全调查,它使分析师能够提出问题并自然地描述他们的任务。
例如,分析师可能会问,“识别上周系统管理员在非工作时间的异常行为”。系统会将此查询转换为精确搜索,并包含所有必要条件,例如事件类型、用户权限和时间范围。分析师甚至可以请求可视化,例如“创建遭受网络钓鱼攻击次数最多的前 10 名用户的直方图,”,系统将自动生成图表。
我们的目标是确保人工智能无缝融入人类的沟通方式。通过掌握人类语言,人工智能可以理解细微差别和意图,让用户专注于调查,而无需理解机器的复杂语言。这种自然的互动提高了调查过程的效率和深度,使分析师能够创建清晰的当前情况思维导图,而无需担心底层数据的复杂性。
例如,分析师可能会问,“识别上周系统管理员在非工作时间的异常行为”。系统会将此查询转换为精确搜索,并包含所有必要条件,例如事件类型、用户权限和时间范围。分析师甚至可以请求可视化,例如“创建遭受网络钓鱼攻击次数最多的前 10 名用户的直方图,”,系统将自动生成图表。
我们的目标是确保人工智能无缝融入人类的沟通方式。通过掌握人类语言,人工智能可以理解细微差别和意图,让用户专注于调查,而无需理解机器的复杂语言。这种自然的互动提高了调查过程的效率和深度,使分析师能够创建清晰的当前情况思维导图,而无需担心底层数据的复杂性。
保持网络安全领先地位
为了保持网络安全领域的领先地位,我们不断创新。我们的用户已经从我们解决方案中集成的人工智能中受益,每天检测和应对威胁。展望未来,我们计划引入生成式人工智能,以进一步优化搜索和调查中的用户体验。对于那些渴望体验这些进步的人,我们将从今年夏天开始提供此解决方案的早期访问权限。
结语
人工智能的融入 SOC 运营不仅仅是一种趋势,更是一次至关重要的演进。通过掌握人工智能,企业可以显著提升威胁检测能力、运营效率和用户体验。在 Stellar Cyber,我们致力于帮助用户充分发挥人工智能的潜力,确保他们在瞬息万变的网络安全环境中始终保持领先地位。
呼吁采取行动: 你准备好探索潜力了吗? SOC 想利用自动化和人工智能提升您的网络安全运营效率?立即联系我们(联系方式见[我们的联系方式])或访问我们的网站预约个性化咨询。让我们携手共创更安全的未来,充分利用人工智能的力量。
