这是一个相对较新的产品类别,它利用原生自动化工作流和人工智能技术来捕获、调查和分类安全警报。该领域的最新初创公司成立于2023年或2024年,它们采用基于生成式人工智能的技术。更为成熟的自主安全运营中心(SOC)产品已经集成了生成式AI,以补充遗传分析或机器学习等核心分析技术。
AI助手产品类别是最近才出现的,始于2023年。这些新的助手工具能够利用生成式AI来辅助分析师,在调查过程中轻松查询系统以获取所需信息。这类工具可能会与其他工具集成,以加快事件响应或自动执行某些操作,但目前尚不清楚这些AI助手的效率和普及程度。
自主SOC的关键流程并非意味着将安全运营的每个环节都完全自动化,至少在短期内实现这一点并不现实。自主SOC的核心在于自动化那些重复性高、耗时且劳动密集型的工作,这些工作往往占据了安全分析师的大量时间。
1. 持续监控:自主SOC需要全天候不间断地监控和收集来自各种安全工具的警报信息,确保不遗漏任何潜在威胁。
2. 收集证据:在接收到警报后,自主SOC还需收集与警报相关的日志数据,包括文件、进程、命令行、进程参数证据、URL、IP地址、父进程/子进程信息以及内存映像等。
3. 告警调查:自主SOC应运用AI和多种先进技术来分析收集到的每一条证据。这包括沙箱分析、遗传密码分析、静态分析、开源情报(OSINT)、内存分析和逆向工程。然后,利用生成式AI模型整合这些独立分析的结果,为事件评估做好准备。
4. 警报分类:自主SOC能够对每个警报相关的风险进行分类,并根据调查结果决定如何上报。此外,它还应通过自动修复检测系统中的误报来减少干扰信息,降低误报对运营团队的影响。
5. 事件响应:对于所有已确认的重要威胁,自主SOC需要提供评估分析和处置建议,并在案例管理系统中创建工单。这包括检测内容和随时可用的搜索规则,以指导响应过程。
6. 分析报告:自主SOC需要生成报告,让运营团队了解威胁处置情况,并提供后续的优化建议,以便持续改进组织的安全防护策略。
通过上述步骤,自主SOC能够高效地筛选海量警报,并逐级上报那些真正需要安全专家人工分析的警报。这有助于提升安全运营工作效率,并显著减少误报处理的时间。
自主SOC应用实例
迈向自主SOC的旅程将是漫长且充满挑战的,但企业安全运营团队现在可以从一些基础场景入手,为未来广泛应用打下基础。以下是自主SOC应用的几个例子,展示了不同类型的安全团队或组织如何应用自主SOC战略。
实例一:与SOAR的自动化联动
在此场景中,安全团队仍需处理许多手工任务,并面临大量误报。为了缩短平均响应时间,这类企业无法通过构建和维护更复杂的事件响应剧本实现更多流程的自动化。他们决定使用一种可以与检测工具集成的自主SOC平台。
在图中可见自主SOC产品实现自动化的流程,这将是该团队运营能力提升的关键部分。在实际应用中,组织首先将其与端点安全产品集成,以监控和分类这些警报。当自主SOC系统在端点警报分类上取得成效后,接下来可使用SOAR进行警报上报和案例管理。有了这个系统,端点警报的分类时间平均不到2分钟。一旦分析师对自主SOC流程的实施感到满意,团队就会集成自主SOC产品,以便处理用户报告的网络钓鱼邮件和SIEM警报。
实例二:为MDR服务商赋能
该MDR团队将采用基于AI的战略视为改进客户服务和增加收入的竞争优势。他们需要监控和分类来自许多客户的警报,这些客户使用多种不同的工具进行检测和响应。
通过实施自主SOC战略,包括使用可与任何客户工具集成的自主SOC产品,他们能够有效地监控、调查和分类来自多个客户环境的每个警报,提供基于AI和自动化的快速分类时间。通过AI和自动化提升能力,MSSP团队可以引入更多客户,并处理更多警报,无需额外招聘分析师。在实施自主SOC产品后,他们还能够丰富客户产品,并提供新的服务,例如处理用户报告的网络钓鱼邮件。
实例三:独立的自主SOC应用
最后设想一个SOC团队已经制定了自主SOC战略。自主SOC产品可以调查和分类来自所有集成检测系统的警报,并将SOAR用于逐级上报和案例管理。在这些工具完全实施之后,团队还可以添加AI检测助手,帮助安全团队查询更多信息。不过,由于AI助手之类的工具非常新颖,目前很少有团队能够有效地使用它们。
发表评论 取消回复