So reduzieren Sie die Alarmüberlastung in Verteidigungs-SOCs
KI-gestützte Triage, schnellere Einblicke und der nötige Freiraum für Ihre Analysten
Share on TwitterAuf Twitter teilen
Share on LinkedInAuf LinkedIn teilen
Share on FacebookAuf Facebook teilen
Share by EmailPer E-Mail teilen
Print this pageDrucken
Analysten sind mit einer unerbittlichen Flut von Benachrichtigungen konfrontiert, wobei sich die Mehrheit als Fehlalarme herausstellt. Studien zeigen, dass 71 % der Mitarbeiter des Security Operations Center (SOC)1 unter Burnout leiden und berichten, dass sie sich von der Menge der Warnmeldungen überfordert fühlen. Einer der größten Anlässe für Frustration unter Analysten ist, dass sie zu viel Zeit mit der Bearbeitung von Fehlalarmen und manueller Arbeit verbringen.
Am besorgniserregendsten ist, dass eine Befragung aus dem Jahr 20242 zeigt, dass sage und schreibe 62 % der Warnmeldungen völlig ignoriert werden und die Genauigkeit nach längeren Schichten um 40 % abnimmt. Es handelt sich also nicht nur um ein Effizienzproblem, sondern auch um eine Sicherheitslücke mit sehr menschlichen Wurzeln, die genau die Lücken schafft, die raffinierte Bedrohungen ausnutzen.
Glücklicherweise reduzieren intelligentere Erkennungsstrategien in Kombination mit fortschrittlicher Automatisierung und KI-gesteuerten Sicherheitstools sowohl das Rauschen als auch das Risiko – viele Unternehmen sehen bereits große Verbesserungen. Ein kürzlich veröffentlichter Bericht, in dem Kundenfeedback analysiert wurde, zeigte, dass Unternehmen, die Elastic Security einsetzen, das tägliche Alarmvolumen von über 1.000 auf nur acht verwertbare Entdeckungen reduzierten, wobei die Fehlalarme um durchschnittlich 75 % reduziert wurden. Das geht über die Reduzierung des Rauschens hinaus: Es ist eine Transformation des Analystenfokus und der SOC-Effizienz. Ein wichtiger Treiber für diesen Wandel sind KI-gestützte Tools wie Attack Discovery von Elastic. Es kann Fehlalarme reduzieren, indem es statt einzelner Anomalien tatsächliche Angriffe identifiziert.
Security-Teams brauchen nicht noch mehr Alarmmeldungen. Sie müssen eine strategische Änderung ihrer Arbeitsweise vornehmen. Der Weg zu aussagekräftigen, verwertbaren Erkenntnissen führt nicht über die Bereitstellung zusätzlicher Tools, mehr Schulungen oder mehr Schichten – was natürlich zu höheren Kosten führt. Vielmehr geht es darum, die strategischen Änderungen zu verstehen, die Verteidigungsteams bereits implementieren, um die Alarmüberlastung und das Risikopotenzial zu reduzieren und die Sicherheitsabläufe zu verbessern.
Priorisierung von Warnmeldungen und Reduzierung des Lärms
Die Befreiung von der Alarmflut beginnt mit einem Umdenken bei der Erkennung, Verarbeitung, Filterung und Priorisierung von Warnmeldungen, damit Analysten sich auf die wichtigsten Bedrohungen konzentrieren können.
Durch den Einsatz von generativer KI verbessert Attack Discovery von Elastic die Erkennung und das Verständnis komplexer Angriffsmuster und verwandelt eine Flut von Warnungen in einen klaren Überblick über den Angriffsverlauf. Durch die Berücksichtigung von Faktoren, die für Verteidigungsvorgänge kritisch sind – wie z. B. Host- und Nutzerrisikobewertungen, Asset-Kritikalität und Priorität der Warnmeldung – hilft es Analysten, die wichtigsten Bedrohungen zu priorisieren und Tausende von Warnungen auf wenige wichtige zu reduzieren. Anhand der von Attack Discovery gewonnenen Informationen können Analysten dann den Elastic AI Assistant und seine RAG-Funktionen (Retrieval-Augmented Generation) nutzen. Durch die Verbindung mit internem Wissen bietet der AI Assistant kontextbezogene Anleitungen aus Ihren eigenen Runbooks und Verfahren und trägt so dazu bei, die mittlere Reaktionszeit (MTTR) drastisch zu reduzieren.
Bedeutungsgewinn durch Kontext und Korrelation
Für eine effiziente Untersuchung von Bedrohungen benötigen Analysten einen ganzheitlichen Überblick, um zu erkennen, wie verschiedene Ereignisse in der Umgebung zusammenhängen. Da die Daten jedoch über Endpoints, Firewalls und Identitätssysteme fragmentiert sind, ist es eine ständige Herausforderung, eine einheitliche Ansicht zu erreichen.
Attack Discovery von Elastic identifiziert aktiv die Beziehungen zwischen Warnmeldungen und deckt Angriffsmuster auf, die sonst in der Datenflut verborgen bleiben würden. Die Grundlage dafür bilden ausgefeilte Suchfunktionen in Kombination mit großen Sprachmodellen, die mit den tatsächlichen Sicherheitsdaten und nicht mit allgemeinen Sicherheitsannahmen arbeiten. Dies ermöglicht die automatische Erkennung bekannter Bedrohungen durch Korrelationsregeln und die Verknüpfung verwandter Ereignisse, um einen umfassenderen Kontext und schnellere, genauere Untersuchungen zu ermöglichen. Jede Erkennung hebt einen potenziellen Angriff hervor, indem sie verwandte Warnmeldungen miteinander verknüpft und zeigt, welche Nutzer und Hosts beteiligt sind, wie die Aktivität dem MITRE ATT&CK® Framework zugeordnet werden kann und welche Bedrohungsakteure in Frage kommen. Elastic Attack Discovery verbindet scheinbar unzusammenhängende Warnungen zu klaren, kohärenten Angriffsketten. Anstatt sich mit isolierten Warnungen über ungewöhnlichen Netzwerkverkehr, verdächtige Prozesse oder der Verwendung von Zugangsdaten zu befassen, können Analysten sofort den gesamten Kontext eines Angriffs einsehen.
Die Wissensdatenbank reichert Warnmeldungen mit Kontext aus vergangenen Vorfällen, Angriffsmustern und Korrelationen in der gesamten Umgebung an, sodass Analysten das Gesamtbild sehen und auf klare und präzise Weise auf Bedrohungen reagieren können.
Sie unterstützt zudem die langfristige forensische Datenaufbewahrung, die die Korrelation von Ereignissen im Zeitverlauf ermöglicht, was für die Aufrechterhaltung der Sicherheit und Compliance in der Verteidigungsindustrie entscheidend ist.
Verbesserung von Sicherheitsuntersuchungen und -betrieb
Um Sicherheitsuntersuchungen schneller und intuitiver zu gestalten, benötigen SOC-Analysten im Verteidigungsbereich umfassende und kontextbezogene Zusammenfassungen sowie die Möglichkeit, mithilfe natürlicher Sprache mit Warnmeldungen, Angriffen und Falldaten zu interagieren. Anstatt komplexe Abfragen zu schreiben oder manuell Logs zu sichten, sollten Analysten Fragen stellen können wie: „Zeig mir alle zugehörigen Warnmeldungen zu diesem Angriff“, „Fasse die Zeitleiste des Angriffs zusammen“ oder „Welche Prozesse waren von diesem Vorfall betroffen?“. Der entscheidende operative Schritt besteht darin, die richtige KI-Lösung zu implementieren, die diese Anfragen in verwertbare Abfragen umwandeln kann, indem sie sofort relevante Daten aus der gesamten Umgebung abruft und korreliert.
Mit dem Elastic AI Assistant können Analysten Folgefragen stellen – zum Beispiel: „Wie kann ich diese Bedrohung beheben?“ – oder eine ES|QL-Abfrage anfordern, um bestimmte Aktionen zu isolieren. Zusätzlich können Analysten ES|QL-Abfragen direkt aus Eingabeaufforderungen in natürlicher Sprache generieren, was das Suchen, Analysieren und Bearbeiten von Sicherheitsdaten schneller und einfacher macht.
Elastic AI Assistant hilft Teams, mit minimalem manuellem Aufwand effizienter auf Bedrohungen zu reagieren. Ein Unternehmen konnte mit dem Elastic AI Assistant beispielsweise eine 34%ige Reduzierung der Untersuchungszeit erreichen, dank der von Experten erstellten Zusammenfassungen von Warnmeldungen, kontextbezogenen Abfragen und vorformulierten Abhilfeschritten.
Mithilfe einer natürlichen Sprachschnittstelle trägt es dazu bei, mehr Einblicke in den Angriff und die zugehörigen Warnmeldungen zu erhalten. Dies trägt dazu bei, die Zeit bis zum Handeln zu verkürzen. Es unterstützt zudem weniger technisch versierte Nutzer bei der Durchführung tiefgehender Untersuchungen und befähigt jeden Analysten, fortgeschrittene Aufgaben durchzuführen.
In Verteidigungsumgebungen kommt es nicht nur auf Geschwindigkeit an: Es geht auch um Präzision und darum, sicherzustellen, dass begrenzte Zeit und Personalkapazitäten in echte Bedrohungen fließen und nicht in routinemäßige Filterung.
Umwandlung von Alarmüberlastung in umsetzbare Erkenntnisse
Eine hohe Alarmdichte belastet Ihr Team. Durch strategische Änderungen im Alarmmanagement können Teams von reaktiven Reaktionen zu durchdachteren, proaktiven Maßnahmen übergehen. Wenn die Notwendigkeit entfällt, manuell auf jede Spitze in der Telemetrie zu reagieren, haben Teams mehr Raum, um intelligenter zu denken, fortschrittliche Erkennungsstrategien zu entwickeln oder Bedrohungsjagdprojekte zu verfolgen, die zuvor unerreichbar waren.
Erfahren Sie, wie Ihre Verteidigungssicherheitsteams mit KI-gestützter Automatisierung die Effizienz steigern, Alarmmüdigkeit reduzieren und Abläufe optimieren können. Nehmen Sie an unserem Webinar Intelligentere Sicherheit: Wie KI die Bedrohungserkennung und die Workflows von Analysten verändert teil – dem ersten Teil unserer vierteiligen Webinar-Reihe, in der praktische Möglichkeiten vorgestellt werden, wie KI die SOC-Abläufe im Verteidigungsbereich neu gestaltet.
Zusätzliche Sicherheitsressourcen
- Erfahren Sie mehr über KI für SecOps
- Erkunden Sie Elastic Security
- Blogartikel: Wird KI bald Arbeitsplätze im Bereich Cybersicherheit übernehmen?
- Webinar: Sicherheitstrends für 2025: Vorhersage der Bedrohungsentwicklung und Abwehr von Grund auf
- Whitepaper: Die Zukunft der Cybersicherheitsabwehr: intelligenter, schneller, widerstandsfähiger
- Whitepaper: Zusammenarbeit in der Verteidigung sichern: Wie KI und behördenübergreifende Datentransparenz die Cyberverteidigungsbereitschaft beschleunigen
Sehen Sie sich unsere Webinar-Reihe an: Strategische Gespräche mit führenden Vertretern der Verteidigungsbranche
- Episode 1: Intelligentere Sicherheit: Wie KI die Bedrohungserkennung und die Workflows von Analysten verändert
- Folge 2: Schnelle Entscheidungen: Wie Unternehmen, die in Sachen Verteidigung die Nase vorn haben, Daten vereinheitlichen, um sofortige Einblicke zu erhalten
- Folge 3: Bridging the Gap: Wie Cyber-Fähigkeiten die operative Bereitschaft beeinflussen
- Folge 4: Governed by Design – Wie Unternehmen, die in Sachen Verteidigung die Nase vorn haben, KI-Innovationen und Compliance in Einklang bringen
Quellen:
Tines, „Report: Voice of the SOC Analyst“, 2022.
- MSSP Alert und CyberRisk Alliance, „MSSP Market News: Survey Shows 62% of SOC Alerts are Ignored“, 2024.
Die Entscheidung über die Veröffentlichung der in diesem Blogeintrag beschriebenen Leistungsmerkmale und Features sowie deren Zeitpunkt liegt allein bei Elastic. Es ist möglich, dass noch nicht verfügbare Leistungsmerkmale oder Features nicht rechtzeitig oder überhaupt nicht veröffentlicht werden.
In diesem Blogpost haben wir möglicherweise generative KI-Tools von Drittanbietern verwendet oder darauf Bezug genommen, die von ihren jeweiligen Eigentümern betrieben werden. Elastic hat keine Kontrolle über die Drittanbieter-Tools und übernimmt keine Verantwortung oder Haftung für ihre Inhalte, ihren Betrieb oder ihre Anwendung sowie für etwaige Verluste oder Schäden, die sich aus Ihrer Anwendung solcher Tools ergeben. Gehen Sie vorsichtig vor, wenn Sie KI-Tools mit persönlichen, sensiblen oder vertraulichen Daten verwenden. Alle Daten, die Sie eingeben, können für das Training von KI oder andere Zwecke verwendet werden. Es gibt keine Garantie dafür, dass Informationen, die Sie bereitstellen, sicher oder vertraulich behandelt werden. Setzen Sie sich vor Gebrauch mit den Datenschutzpraktiken und den Nutzungsbedingungen generativer KI-Tools auseinander.
Elastic, Elasticsearch und zugehörige Marken sind Marken, Logos oder eingetragene Marken von Elasticsearch N.V. in den Vereinigten Staaten und anderen Ländern. Alle anderen Unternehmens- und Produktnamen sind Marken, Logos oder eingetragene Marken ihrer jeweiligen Eigentümer.
Teilen
- Share on Twitter
Auf Twitter teilen
- Share on LinkedIn
Auf LinkedIn teilen
- Share on Facebook
Auf Facebook teilen
- Share by Email
Per E-Mail teilen
- Print this page
Drucken