从警报疲劳到行动:为国防团队提供更智能的 SOC 工作流
让您的分析师专注于真正重要的事情:安全结果。
Share on Twitter在 Twitter 上分享
Share on LinkedIn在 LinkedIn 上分享
Share on Facebook在 Facebook 上分享
Share by Email通过邮件分享
Print this page打印
英国国防部 (MOD) 的安全团队正承受着双重负担:一方面网络威胁的数量和复杂性不断增加,另一方面处理警报分类、管理合规性、整合来自分散系统的情报等日常运营工作总是没完没了。
事实摆在眼前:传统安全运营中心 (SOC) 的工作流无法应对当今威胁的速度和数量。自动化已不再是可选项,而是必选项。在时间和人力有限的情况下,必须做出改变。
那么高效且有效的安全运营中心 (SOC) 是怎样运作的?在这样的安全运营中心,“转椅”流程和“救火”不再是支持业务的标准方法。分析师不再疲于应付警报,他们能有更多时间专注于真正重要的事情,并能迅速采取行动。在这样的安全运营中心,自动化能够简化警报分类,调查可以跨越多个领域而无需人工关联,合规不再是一种负担,而是运营的一个组成部分。
这是许多国防和公共部门团队正在努力实现的未来。有了 AI 驱动的检测、跨领域可视化和合规工作流,这一愿景正逐步成为现实。
从手动操作到以任务为中心的团队
我们知道,分析师仍然花费过多时间在重复性任务上,例如梳理误报、手动关联事件或更新合规日志。这不仅仅效率低下,而且令人沮丧。有才华的专业人士被迫从事可以(而且应该)自动化的任务。
Elastic Search AI Platform 支持 AI 驱动的调查能力,将相关警报整合为统一的攻击故事。威胁模式会被自动识别并与高优先级事件关联。分析师可以通过评估这些更高层次的主题来解读风险并指导响应,而不是在海量警报中耗费时间。
Elastic 的 Attack Discovery 功能可在数秒内将数百个警报筛选为少数重要警报。它将看似相似的事件分组,以便统一评估。此外,Attack Discovery 还能将看似无关的安全事件连接成连贯的攻击链,并根据严重性、风险评分和资产关键性进行评估。它还能自动识别事件之间的关系,揭示可能隐藏在孤立警报中的协同攻击。获得这种情境感知不再需要花费数小时进行手动关联。
借助 API 集成功能,Elastic 可以将这些分析功能直接纳入现有的国防安全工作流中。安全团队可以管理工作流,而自动化系统则负责处理一些重复但必要的任务,例如管理匿名化数据,以维护在国防网络中适当的安全分类。
用情报对抗分析师疲劳
当每个警报都需要关注时,分析师就无法专注于真正重要的事情。对于许多国防 (SOC) 团队来说, 疲劳不仅仅是一个流行词汇,而是日常的现实。大量误报会耗尽时间、精力和士气。
这正是智能自动化开始赢得一席之地的方面。通过使用基于机器学习的检测规则和自动化分类,Elastic 能够在警报到达分析师手中之前过滤干扰信息。警报会根据上下文、严重程度和相关性进行分组,确保团队能够专注于真正紧急的问题,而不是仅仅被噪音干扰。
这不仅缩短了响应时间,还让分析师对眼前的问题充满信心,确信这些问题确实值得他们运用专业知识去解决。它减少了每天筛选数百个无关问题的认知负荷,释放出更多资源用于培训、指导或主动威胁搜寻。
从分散响应到流畅运作
分散的数据系统使得最简单的任务也变得复杂。当事件跨越多个网络或安全区域时,调查速度会变得极其缓慢。分析师被迫在不同工具之间切换,跨越安全边界,并手动拼凑完整的事件经过。
Elastic Search AI Platform 打破了数据孤岛,无需切换工具或上下文即可实现跨域可见性,并能在多个分类级别上即时关联安全事件。安全分析师可以使用单一命令在多个数据域(机密和非机密、本地部署和云)中执行统一查询,不受地理位置或安全域的限制。Elastic 提供了一种称为跨集群搜索 (CCS) 的工具,它支持分析师在访问权限允许的情况下使用单个命令从单个接口查询多个集群。
网络请求(及延迟)得以减少,因为协调节点向每个远程集群发送单个搜索请求,这些请求在本地执行并仅返回最终结果。数据无需移动或复制;搜索直接在数据源处进行。这在协调方面是一个重大飞跃,尤其是在需要严格遵守安全边界的国防环境中。
通过强大的安全身份验证机制,安全边界保持不变。API 密钥身份验证和 TLS 证书身份验证均支持角色配置,确保分析师仅能访问其被授权查看的数据。通过在集群间进行数据复制可以提供弹性,防止数据丢失,并确保信息在基础设施故障和受限环境中仍然可用。
通过自动化审计简化国防合规性
合规报告长期以来一直是安全运营的隐性负担。分析师需要花费数小时生成审计跟踪并记录事件日志,以确保它们符合要求。但如今,治理已成为工作流的一部分,而非额外任务,并具备可配置的审计日志和合规报告功能,以满足诸如 NIST 等标准。分析师再也无需手动导出日志或事后追踪细节。相反,每项调查都已记录在案,每项决策都有日志可查,且所有事件均可按需查阅。
Elastic Search AI Platform 可以配置为以适当的详细级别记录特定类别的事件,确保捕获所有必要的信息,而不会产生不必要的数据量。分析师可以轻松导入或定义规则,包括确认、抑制和自定义警报逻辑,以塑造系统对已知模式或常规活动的响应方式,从而无需牺牲监督即可减少噪音。当法规发生变化时,系统能够适应这些变化,无需进行流程大改。治理已深深融入日常运营,因此合规成为日常运营的自然结果,而非事后考虑。
集中日志记录创建了一个不可篡改的审计跟踪,可以捕获所有安全事件,并可配置详细级别,为调查和监管查询提供证据,无需额外开销。
结果:专注的团队和更快的运营
自动化不是为了取代人,而是为了提升人类的工作效率。当繁琐的任务由系统处理时,分析师就可以自由地思考、领导和行动。他们不再是被动模式中的操作员。他们是值得信赖的决策者,推动国防准备工作向前发展。
通过智能调查工具、跨域可视性和合规性作为产品的核心组成部分,SOC 可以扩展其工作范围,以更少的资源提供更多保护,并跟上不断变化的威胁。对于分析师而言,这意味着减少重复性工作,增强自主权,并在任务关键岗位上感受到更强的使命感和影响力。
了解您的国防安全团队可以如何通过 AI 驱动的自动化提升效率、减少疲劳并优化运营流程。欢迎参加我们的网络研讨会《更智能的安全:AI 如何重塑威胁检测和分析师的工作流》——这是我们四场网络研讨会系列的第一场,主要探讨 AI 重塑国防 SOC 运营的实用方法。
本文中描述的任何功能或功能性的发布和时间均由 Elastic 自行决定。当前尚未发布的任何功能或功能性可能无法按时提供或根本无法提供。
在本博文中,我们可能使用或提到了第三方生成式 AI 工具,这些工具由其各自所有者拥有和运营。Elastic 对第三方工具没有任何控制权,对其内容、操作或使用不承担任何责任或义务,对您使用此类工具可能造成的任何损失或损害也不承担任何责任或义务。请谨慎使用 AI 工具处理个人、敏感或机密信息。您提交的任何数据都可能用于 AI 训练或其他目的。Elastic 不保证您所提供信息的安全性或保密性。在使用任何生成式 AI 工具之前,您都应自行熟悉其隐私惯例和使用条款。
Elastic、Elasticsearch 及相关标志是 Elasticsearch N.V. 在美国和其他国家/地区的商标、徽标或注册商标。所有其他公司和产品名称均为其相应所有者的商标、徽标或注册商标。
分享
- Share on Twitter
在 Twitter 上分享
- Share on LinkedIn
在 LinkedIn 上分享
- Share on Facebook
在 Facebook 上分享
- Share by Email
通过邮件分享
- Print this page
打印