Xây dựng SOC tự động, thông minh v ới Cortex XSOAR Thông thường, thuật ngữ “Học máy” thường nhắc đến với tiềm ứng dụng rộng lớn, nhiên bị nghi ngờ khả áp dụng thực tế Với vai trò tảng tự động hóa điều phối xử lý cố, Cortex XSOAR - ba giải pháp công ty Palo Alto Networks đư ợc xây dựng từ đầu tảng học máy chứng minh giá trị thực tế giúp nhiều khách hàng tăng hiệu hoạt động mức độ trưởng thành SOC Theo chia sẻ thực tế khách hàng, lực học máy Cortex XSOAR giúp đ ội ngũ vận hành SOC phản hồi nhanh xử lý cố, đẩy nhanh trình tạo phát triển playbook, thao tác ho ạt động SOC trở nên xác hiệu Dưới số ví dụ điển hình ứng dụng lực học máy Cortex XSOAR giải vấn đề thường gặp hoạt động vận hành SOC Khuyến nghị lựa chọn chuyên viên tiếp nhận xử lý cố Các vấn đề gặp phải thực tế: Khi SOC mở rộng quy mô, tăng trưởng số lượng chuyên viên, chuyên viên đư ợc phân công tiếp nhận cố dựa theo cách lựa chọn “bất kỳ có khả tiếp nhận thêm cố” Điều không dẫn đến khối lượng công việc không đồng cho chuyên viên vốn bận tải với cố mà khiến cho chuyên môn họ không cân nhắc phân bổ công việc Các cố phân bổ không cách, khơng ngư ời khơng xử lý hiệu Giải pháp với Cortex XSOAR: Khi phân bổ cố, Cortex XSOAR phân tích toàn cố xử lý trước với thơng tin chi ti ết loại cố, trường thông tin, liệu kèm Sử dụng lực học máy, Cortex XSOAR s ẽ so sánh chéo thông tin v ới khối lượng công việc chuyên viên đề xuất chuyên viên phù h ợp để tiếp nhận xử lý cố Cortex XSOAR phân tích đ ề xuất chuyên viên theo kinh nghi ệm khối lượng cơng việc thực tế Lợi ích: Các đề xuất chuyên viên Cortex XSOAR đảm bảo khối lượng cơng việc khơng phải tiêu chí để phân bổ cố mà cịn lựa chọn chuyên viên có kinh nghi ệm xử lý cố phù hợp nhất, đảm bảo đồng thời yếu tố thời gian, kinh nghi ệm chất lượng xử lý cố Đề xuất chuyên gia hỗ trợ xử lý cố Thách thức: Xử lý cố khơng phải q trình tách biệt riêng rẽ cá nhân Tuy nhiên, chuyên viên x lý cố, đặc biệt chuyên viên kinh nghi ệm thường âm thầm tiếp nhận xử lý cố mình, ý biết kỹ đồng nghiệp giúp ích khiến q trình xử lý cố trở nên nhanh chóng đơn gi ản nhiều Giải pháp: Tính War Room XSOAR cho phép chuyên viên hợp tác trình ều tra xử lý cố War Room cho phép chuyên viên mời đồng nghiệp tham gia vào trình xử lý cố với cú pháp thân thi ện chương trình chat ph ổ biến @chuyên_viên_đư ợc_mời Điều đặc biệt thú vị đây, XSOAR áp dụng chế học máy để phân tích lịch sử cố giải quyết, đánh giá thao tác th ủ công thực chuyên viên đưa đề xuất chuyên viên phù h ợp với cố xử lý Cortex XSOAR phân tích đ ề xuất chuyên gia có kỹ phù hợp với cố xử lý Lợi ích: Bằng cách tạo điều kiện thuận lợi đơn giản cho trình ph ối hợp xử lý cố chuyên viên, XSOAR s ẽ giúp giảm thời gian tăng chất lượng, kết công việc Dựa đề xuất xác XSOAR, chuyên viên, đ ặc biệt chuyên viên mới, nhiều thời gian tìm hiểu lựa chọn đồng nghiệp có kinh nghiệm, kỹ phù hợp để hỗ trợ hồn thành nhiệm vụ giao Tự động đề xuất câu lệnh thường sử dụng Thách thức: Trong trình tiến hành điều tra xử lý cố, chuyên viên thường có nhiều tác vụ cần thực thi truy vấn thêm thông tin từ hệ thống tường lửa, EDR, AD… Khi số lượng thiết bị, thành phần SOC tăng lên việc lựa chọn thứ tự câu l ệnh phù hợp để hỗ trợ trình xử lý cố giúp tăng đáng kể chất lượng xử lý cố tiết kiệm nhiều thời gian cho chuyên viên Giải pháp: Khi chuyên viên nhập “!” để bắt đầu lựa chọn câu lệnh, Cortex XSOAR nghiên cứu lịch sử lệnh thủ công thực thi với loại cố tương ứng trước đưa đề xuất lệnh nên thực thi trước Ngay chuyên viên th số lệnh chưa tìm thơng tin phù h ợp, tính có th ể hỗ trợ họ hướng với lệnh mà họ bỏ qua quên XSOAR đưa đề xuất thơng minh dựa phân tích liệu lịch sử Lợi ích: Tính tự động đề xuất câu lệnh giúp tiêu chu ẩn hóa q trình điều tra xử lý, đảm bảo câu lệnh phổ biến không bị bỏ quên với loại cố Quan trọng nhất, tảng XSOAR đảm bảo tối ưu SLA SOC, ngăn chặn trình điều tra xử lý thiếu thận trọng, bỏ quên tác vụ quan trọng, tăng cư ờng hiểu biết kinh nghiệm cho chuyên viên Hiển thị trực quan cố tương đồng Thách thức: Tần suất số lượng cố SOC thường lớn dẫn đến việc chuyên viên phân tích t ập trung vào phân tích xử lý cố cụ thể khó có góc nhìn rộng hơn, kết nối cố với tranh lớn cố tương tự xảy hệ thống Điều dẫn đến việc thực thi lại tác vụ điều tra xử lý làm Giải pháp: Với cố, Cortex XSOAR tự động phân tích tìm cố có đặc điểm tương đồng diễn hệ thống Một biểu đồ trực quan, dễ dàng tương tác cho phép chuyên viên phân tích, tìm ki ếm, điều chỉnh mức độ tương đồng khác hay theo mốc thời gian Biểu đồ trực quan, dễ dàng tương tác Lợi ích: Khơng đơn cung cấp khả tiếp nhận, giảm thời gian xử lý cố (MTTR) tính c giải pháp SOAR tiêu chuẩn, khả hiển thị trực quan cố tương đồng mức độ dễ dàng tương tác điều chỉnh lọc tăng cường lực điều tra chuyên viên SOC Các chun viên s ẽ góc nhìn rộng cố xảy ra, giúp họ dễ dàng phân tích tương đồng, liên quan cố thông qua hàng lo ạt thông tin, yếu tố Đơn giản hóa q trình xây dựng kịch xử lý cố (Playbook) Thách thức: Sau tiếp nhận cố từ giải pháp SIEM, XDR, Email, giải pháp SOAR sử dụng playbook để thực thi tác vụ điều tra xử lý cố Các playbook bám sát quy trình xử lý cố SOC cập nhật tạo có thêm loại cố cần bổ sung tương tác v ới hệ thống SOC Việc tạo hay cập nhật playbook có th ể tốn nhiều thời gian việc lựa chọn liệu đầu vào phù hợp thử nghiệm nhiều lần để đánh giá mức độ xác Giải pháp: Không cung cấp giao diện trực quan cho việc tạo, cập nhật playbook với thao tác kéo thả nhanh chóng đơn gi ản (khơng cần kỹ lập trình hay viết script tạo playbook), Cortex XSOAR cịn áp dụng cơng nghệ học máy để phân tích tự động đề xuất giá trị đầu vào (input) phù h ợp cho task playbook Tính hỗ trợ nhiều cho chuyên viên trình xây d ựng playbook, tăng độ xác rút ng ắn thời gian đưa playbook vào ho ạt động thực tế Cortex XSOAR tự động đề xuất giá trị đầu vào phù hợp cho task Lợi ích: Không đơn sử dụng playbook để xử lý cố, Cortex XSOAR sử dụng công nghệ học máy để giúp đẩy nhanh tối ưu hóa việc tạo cập nhật playbook, ti ết kiệm thời gian chuyên viên tăng hi ệu liên tục tối ưu playbook Trích xuất cố trùng lặp Thách thức: Lượng cảnh báo lớn thường dẫn đến việc có nhiều cố bị trùng lặp, điều làm cho chuyên viên ph ải tốn thêm thời gian phải lặp lại trình điều tra, xử lý Nguyên nhân trùng lặp đến từ việc có nhiều hướng công khác nhau, cảnh báo sinh đồng thời nhiều tảng phân tích (XDR, SIEM…) m ột yếu tố khiến cho chuyên viên m ệt mỏi giảm hiệu hoạt động SOC Giải pháp: Với Cortex XSOAR, chuyên viên tự động hóa việc phát tạo danh sách cố trùng lặp sử dụng playbook, task playbook ho ặc trực tiếp War Room Cortex XSOAR s dụng cơng nghệ máy học để phân tích liệu trình tiếp nhận xử lý cố, tìm kiếm thơng tin tương đương (như email labels việc xác định email phishing), th ời gian xảy cố dấu hiệu phổ biến để xác định trùng lặp Tự động hóa việc xác định cố trùng lặp với Cortex XSOAR Lợi ích: Dễ dàng xác định loại bỏ cố trùng lặp giúp giảm tải cho chuyên viên, giúp họ tập trung cho nhiệm vụ quan trọng nâng cao hiệu hoạt động SOC Tự động xử lý công phishing Thách thức: Các công phishing phổ biến diễn thường xuyên khiến cho chuyên viên SOC phải dành nhiều thời gian để phân tích xác định xử lý cố Thông thư ờng, chuyên viên s ẽ phải thực phân tích thủ cơng cách sử dụng nhiều cơng cụ, nguồn thơng tin để tìm kiếm, đối chiếu IOC có email phishing Có nhiều trường hợp, sau tốn nhiều thời gian để phân tích, đánh giá lại cảnh báo giả, email phishing, gây s ự lãng phí lớn thời gian cơng sức chun viên gi ảm hiệu hoạt động SOC Giải pháp: Năng lực học máy Cortex XSOAR có th ể giải cơng đoạn đánh giá thủ cơng với độ xác cao cách sử dụng phân loại công phishing Bộ phân loại phishing m ột mơ hình học máy chuyên sâu cho phép Cortex XSOAR phâ n tích dự đốn hành vi thơng qua loại cố trường thơng tin có s ự cố (như domain, IP, URL…) Mơ hình h ọc máy sử dụng để tự động phát loại email phishing, địa URL hợp pháp hay chứa nội dung spam, lừa đảo Ví dụ kết phân loại mơ hình học máy phát phishing Lợi ích: Với khả áp dụng học máy tự động phát xử lý công lừa đảo, Cortex XSOAR giúp SOC tiết kiệm nhiều thời gian công sức chuyên viên Tận dụng tồn thơng tin v ề cố, đánh giá phân tích c chuyên viên đ ầu vào để đào tạo phân loại nhận biết phân loại công phishing c ảnh báo giả giúp đảm bảo độ xác phù h ợp với mơi trường thực tế SOC Đây bước tiến hành trình t ự động hóa SOC, loại bỏ giải phóng chuyên viên kh ỏi tác vụ thủ công không cần thiết Lời kết Đối với Cortex XSOAR, tự động hóa nhiều phương tiện để đạt mục tiêu giúp SOC xử lý ngăn chặn công cách hiệu Với khả tự động phối hợp thực tác vụ nhiều giải pháp (Firewall, IPS, EDR, SIEM…), tự động tiếp nhận quản lý cố, phân công chuyên viên phù h ợp, tương tác phối hợp thành viên theo thời gian thực tận dụng khả học hỏi từ tất nguồn liệu, cố, thao tác xử lý cố chuyên viên, lực hiệu hoạt động SOC gia tăng theo thời gian Năng lực học máy Cortex XSOAR liên t ục cải thiện nâng cấp để giải pháp trở nên ngày thông minh, giúp SOC ho ạt động hiệu tốt  ... giảm hiệu hoạt động SOC Giải pháp: Với Cortex XSOAR, chuyên viên tự động hóa việc phát tạo danh sách cố trùng lặp sử dụng playbook, task playbook ho ặc trực tiếp War Room Cortex XSOAR s dụng công... xác phù h ợp với môi trường thực tế SOC Đây bước tiến hành trình t ự động hóa SOC, loại bỏ giải phóng chuyên viên kh ỏi tác vụ thủ công không cần thiết Lời kết Đối với Cortex XSOAR, tự động hóa... máy phát phishing Lợi ích: Với khả áp dụng học máy tự động phát xử lý công lừa đảo, Cortex XSOAR giúp SOC tiết kiệm nhiều thời gian công sức chuyên viên Tận dụng toàn thông tin v ề cố, đánh giá