Tạo trung tâm điều hành an ninh thông minh: Nh ững trường hợp sử dụng máy học hàng đầu Cortex XSOAR Máy học tảng điều phối, tự động hóa phản hồi bảo mật (SOAR) xây dựng từ đầu với tảng máy học, Cortex® XSOAR mang đến cho khách hàng lợi ích kiểm chứng trung tâm điều hành an ninh (các SOC) c khu vực địa lý, mức độ trưởng thành phạm vi hoạt động Khả máy học Cortex XSOAR giúp tăng suất phản hồi, đẩy nhanh trình phát tri ển playbook (kịch xử lý) cho phép hoạt động bảo mật tinh gọn hơn, hiệu Bài viết trình bày trư ờng hợp sử dụng có mơ tả thách thức mà SOC phải đối mặt, cách Cortex XSOAR trợ giúp lợi ích mang lại Trường hợp sử dụng số 1: Khuyến nghị chủ sở hữu cố Thách thức Khi SOC mở rộng quy mô, họ kết thúc theo phương pháp ti ếp cận “bất kỳ có mặt” để định chủ sở hữu cố Điều không dẫn đến khối lượng công việc khơng đồng cho nhà phân tích v ốn tải, mà dẫn đến việc chuyên mơn nhà phân tích bị bỏ qua nhiệm vụ giao Các cố định không cách cuối dẫn đến việc xử lý không cách Giải pháp Bất chủ sở hữu cố định, Cortex XSOAR nghiên cứu chi tiết tất cố trước hệ thống, bao gồm loại cố nhiều trường khác Sử dụng công nghệ máy học, Cortex XSOAR tham chiếu chéo liệu với số lượng nhà phân tích hi ện có để đề xuất 03 nhà phân tích hàng đầu phù hợp xử lý cố Hình 1: Khuyến nghị nhà phân tích thơng minh Cortex XSOAR nghiên cứu trường cố khối lượng công việc nhà phân tích trư ớc đề xuất quyền sở hữu cố Lợi ích Những đề xuất đảm bảo khối lượng công việc tiêu chí xem xét q trình phân công s ự cố Bằng cách nghiên cứu loại trường cố, Cortex XSOAR có th ể đưa đề xuất nhà phân tích phù h ợp để xử lý cố thời gian chuyên môn Trường hợp sử dụng số 2: Đề xuất chuyên gia bảo mật Thách thức Xử lý từ đầu đến cuối ứng phó cố quy trình riêng biệt Thật khơng may, nhà phân tích SOC thư ờng hoạt động phòng riêng biệt thực điều tra, mà không ý đ ến kỹ cụ thể đồng nghiệp hữu ích cho cố phức tạp Các nhà phân tích kinh nghi ệm làm việc đây, họ phải đối mặt với cố nhà phân tích cấp cao bận rộn với hoạt động ngày khác Giải pháp Phòng War Room (Phòng Cu ộc chiến) Cortex XSOAR cho phép thực điều tra hợp tác Đây nơi nhà phân tích mời đồng đội họ tham gia điều tra chung Ở đây, Cortex XSOAR sử dụng máy học để nghiên cứu lịch sử tất cố giải quyết, đặc biệt xem xét thao tác thủ công thực nhà phân tích khứ Sau phân tích liệu này, Cortex XSOAR đề xuất 03 nhà phân tích hàng đầu, họ cung cấp hỗ trợ liên quan cho cố cụ thể Hình 2: Các định dựa phân tích lịch sử Cortex XSOAR xem xét thao tác th ủ cơng thực Phịng War Room lịch sử cố giải trước đề xuất chuyên gia bảo mật tham gia điều tra Lợi ích Bằng cách vừa cho phép điều tra chung, vừa tạo điều kiện hình thành nhóm thơng minh, War Room c Cortex XSOAR báo trư ớc việc giảm thiểu thời gian giải tăng chất lượng giải cố cách quán Tính ho ạt động người hướng dẫn cho nhà phân tích kinh nghiệm cách làm bật chuyên gia giúp họ vượt qua cố cụ thể, giảm tỷ lệ sai sót lo lắng nhà phân tích Trường hợp sử dụng số 3: Các lệnh bảo mật thường sử dụng Thách thức Trong trình ti ến hành điều tra thời gian thực sau phân lo ại cố, nhà phân tích có hàng trăm hành đ ộng bảo mật khả thi để lựa chọn Khi SOC tiếp tục mở rộng stack (ngăn xếp) sản phẩm mình, có khác biệt quan sát thấy loại, thứ tự mức độ xác hành động bảo mật thực từ nhà phân tích sang nhà phân tích khác Đi ều dẫn đến thời gian chất lượng giải khác cố tương tự, tác động tiêu cực đến thỏa thuận mức độ dịch vụ (các SLA) theo dõi số Giải pháp Khi nhà phân tích bắt đầu nhập lệnh bảo mật War Room Cortex XSOAR, tảng nghiên cứu lệnh thủ công sử dụng cho tất cố thuộc loại khứ Dữ liệu cho phép đề xuất lệnh bảo mật chạy trước Ngay nhà phân tích chạy số lệnh bị mắc kẹt điều tra, đề xuất giúp họ hướng với lệnh mà họ bỏ lỡ Hình 3: Khuyến nghị lệnh thông minh Cortex XSOAR xem xét l ệnh thủ công thực cho loại cố cụ thể để đề xuất lệnh thường sử dụng cho loại cố Lợi ích Các đề xuất lệnh bảo mật giúp nhà phân tích hư ớng tới tiêu chuẩn hóa q trình ứng phó cố đảm bảo khơng có hành động thường sử dụng bị bỏ sót cố đơn lẻ Cuối cùng, tảng Cortex XSOAR giúp trì cải thiện tình trạng SLA cho SOC cách ngăn chặn quy trình ều tra giả mạo bỏ sót hành động quan trọng Điều hỗ trợ việc quản lý kiến thức hữu trì chuyên môn SOC Trường hợp sử dụng số 4: Trực quan hóa cố liên quan Thách thức Tốc độ mức độ nghiêm trọng mà cố bất ngờ xảy SOC thường khiến nhà phân tích bị giới hạn phạm vi hẹp Trong lúc tập trung vào cố diễn ra, nhà phân tích có th ể khơng kết nối cố với tranh lớn vẽ mẫu với cố tương tự xảy hệ thống Điều dẫn đến việc làm lại dư thừa cho quy trình phản hồi lưu trữ - chưa khai thác n ền tảng Giải pháp Đối với cố Cortex XSOAR, ph ần cố liên quan trình bày đồ trực quan dựa thời gian cố tương tự xảy hệ thống Cortex XSOAR nghiên c ứu liệu chi tiết báo cố, xác định mẫu điểm tương đồng, đồng thời trực quan hóa liệu dạng đưa vào sử dụng Hình 4: Dữ liệu trực quan, đưa vào sử dụng Cortex XSOAR tương quan ch ỉ báo liệu cố để đưa sơ đồ hướng tâm theo thời gian thực cố liên quan cho trường hợp Lợi ích Thay giảm MTTR (Mean time to responese) ho ặc mệt mỏi có nhiều cảnh bảo - vốn lợi ích tiêu chuẩn SOAR - tính cố liên quan tiến thêm bước tăng khả điều tra nhà phân tích cách cung cấp cho họ công cụ trực quan để hiểu rõ tranh toàn cảnh SOC cố có liên quan th ế xuyên suốt loạt yếu tố Trường hợp sử dụng số 5: Đơn giản hóa việc tạo tác vụ Playbook Thách thức Sau Playbook thực hành trình ban đầu từ giấy (hoặc suy nghĩ nhà phân tích) sang n ền tảng SOAR, Playbook s ẽ tạo điều kiện tạo phản hồi tự động khơng trải qua trình đo lường đánh giá Trừ nhà phân tích nắm bắt kiến thức tốt từ nơi khác đưa kiến thức vào tảng, lợi ích Playbook cuối không thay đổi Giải pháp Cortex XSOAR không ch ỉ tạo điều kiện thuận lợi cho việc tạo tác vụ Playbook tùy chỉnh, mà sử dụng công nghệ máy học để đẩy nhanh trình hình thành tác v ụ có liên quan có th ể xác minh Trong q trình tạo tác vụ Playbook chọn đầu vào, nhà phân tích có th ể nhìn thấy đề xuất cho đối số tham số phù hợp với đầu vào Hình 5: Khuyến nghị đầu vào phù hợp Cortex XSOAR tìm tác v ụ Playbook để nghiên cứu đối số tự động hóa thường sử dụng đề xuất đầu vào trình tạo tác vụ Playbook Lợi ích Thay dừng lại mức giảm thiểu việc tải cảnh báo phân tíc h cố nhanh hơn, Playbook Cortex XSOAR cịn sử dụng cơng nghệ máy học để ln theo đư ờng cải tiến thông qua tác vụ hiệu Điều giúp giải tình trạng trì trệ xảy giai đoạn cuối hiệu Playbook không linh hoạt Trường hợp sử dụng số 6: Trích xuất cố trùng lặp Thách thức Lượng cảnh báo lớn thường dẫn đến xuất nhiều cố trùng lặp Tuy nhiên, vectơ t ấn công khác nhau, điểm cuối mục tiêu khác biến đổi tinh vi, cố đăng ký độc lập tảng thông tin bảo mật quản lý kiện (SIEM) SOAR SOC Điều dẫn đến công việc lặp lặp lại, gây mệt mỏi cho nhà phân tích họ tiến hành rà soát cố trùng lặp Giải pháp Người dùng Cortex XSOAR có th ể tận dụng tính tự động hóa dùng để tạo danh sách cố trùng lặp, dạng tác vụ Playbook tương tác War Room Máy h ọc Cortex XSOAR nghiên cứu liệu xác định trước mơi trường khách hàng, tìm kiếm nhãn tương tự, nhãn email (có liên quan đ ến cố lừa đảo), thời gian xảy cố báo phổ biến để tạo danh sách Hình 6: Tự động hóa để xác định cố trùng lặp Cortex XSOAR xây dựng danh sách cố trùng lặp cách so sánh nhãn, tem thời gian đặc điểm chung khác cố Lợi ích Dễ dàng xác định ghi lại cố trùng lặp, giúp loại bỏ khối lượng lớn công việc thường xuyên cho nhà phân tích, giúp h ọ tập trung vào nhiệm vụ có ý nghĩa giải vấn đề quan trọng Trường hợp sử dụng số 7: Tự động hóa phản hồi lừa đảo Thách thức Việc xem xét cố lừa đảo tiềm ẩn làm tốn khoảng thời gian đáng kể cho nhiều nhóm SOC Các nhà phân tích dành ph ần lớn thời gian lượng để điều tra công lừa đảo tiềm ẩn theo cách thủ công, họ sử dụng công cụ dịch vụ khác nhằm giúp cung cấp liệu phong phú báo tìm thấy email để xem có chứng ác ý tồn hay không Một số lượng lớn cố công lừa đảo thường yêu cầu bước xem xét thủ công, nhiều cố lừa đảo bị nghi ngờ hóa dương tính gi ả Giải pháp Khả mơ hình máy học (ML) Cortex XSOAR có th ể giải quy trình xem xét thủ cơng với mức độ xác hiệu cao cách sử dụng tính phân loại lừa đảo Bộ phân loại lừa đảo mô hình học chun sâu cho phép Cortex XSOAR phân tích d ự đốn hành vi thơng qua lo ại trường cố Các mơ hình máy h ọc sử dụng chủ yếu cho cố lừa đảo đào tạo để tự động nhận ra, ví dụ: email lừa đảo thơng tin URL hợp pháp chứa thư rác dự đốn có cơng lừa đảo tiềm ẩn Hình 7: Mẫu kết mơ hình phân loại lừa đảo Cortex XSOAR cung c ấp đánh giá chi tiết cho phép nhà phân tích hiểu mơ hình hoạt động từ khía cạnh khác để hiểu rõ tác động dự kiến việc áp dụng mơ hình theo cách định Lợi ích Cortex XSOAR cho phép ngư ời dùng tận dụng ML cách hiệu trình điều tra cố lừa đảo Trong vài bước ngắn, SOC định cấu hình đào tạo mơ hình ML cách sử dụng mơ hình tập lệnh có sẵn tùy chỉnh để xác định phân tích báo cụ thể, nhận phân tích chi tiết kết nhận khuyến nghị việc sử dụng mơ hình q trình ho ạt động Đây bước tiến hành trình tự động hóa SOC giúp lo ại bỏ công việc thủ công không cần thiết Kết luận Đối với Cortex XSOAR, tự động hóa nhiều phương tiện để đạt mục đích: SOC chống công Bằng cách phối hợp hành động sản phẩm, quản lý cố tảng, cộng tác th ời gian thực học hỏi từ tất liệu theo ý bạn, bạn thực mang lại giá trị lớn cho SOC Tập trung “học hỏi” nửa máy học, Cortex XSOAR ln tìm ki ếm đường để tận dụng sở ML cải tiến giúp tảng trở nên thơng minh v ới cố, đồng thời làm cho SOC thông minh  ... sử dụng Hình 4: Dữ liệu trực quan, đưa vào sử dụng Cortex XSOAR tương quan ch ỉ báo liệu cố để đưa sơ đồ hướng tâm theo thời gian thực cố liên quan cho trường hợp Lợi ích Thay giảm MTTR (Mean... pháp Cortex XSOAR không ch ỉ tạo điều kiện thuận lợi cho việc tạo tác vụ Playbook tùy chỉnh, mà cịn sử dụng cơng nghệ máy học để đẩy nhanh trình hình thành tác v ụ có liên quan có th ể xác minh. .. lắng nhà phân tích Trường hợp sử dụng số 3: Các lệnh bảo mật thường sử dụng Thách thức Trong trình ti ến hành điều tra thời gian thực sau phân lo ại cố, nhà phân tích có hàng trăm hành đ ộng bảo