Sử dụng công nghệ máy học, Cortex XSOAR tham chiếu chéo dữ liệu này với số lượng nhà phân tích hi ện có để đề xuất 03 nhà phân tích hàng đầu phù hợp nhất xử lý sự cố.. Cortex XSOAR nghiê
Trang 1Tạo các trung tâm đi ều hành an ninh thông minh: Nh ững trư ờng hợp sử
dụng máy học hàng đầu của Cortex XSOAR
Máy học là một nền tảng điều phối, tự động hóa và phản hồi bảo mật
(SOAR) được xây dựng từ đầu với nền tảng máy học, Cortex® XSOAR mang đến cho khách hàng những lợi ích có thể kiểm chứng được ở các trung tâm điều hành an ninh (các SOC) c ủa mình trên các khu vực địa lý, mức độ trưởng thành và ph ạm vi ho ạt động Khả năng máy học của Cortex XSOAR giúp tăng năng suất phản hồi, đẩy nhanh quá trình phát triển
playbook (kịch bản xử lý) và cho phép các ho ạt động bảo mật tinh gọn hơn, hiệu quả hơn
Bài viết này trình bày các trư ờng hợp sử dụng có mô t ả những thách thức
mà các SOC ph ải đối mặt, cách Cortex XSOAR tr ợ giúp và những lợi ích mang lại
Trường hợp sử dụng số 1: Khuyến nghị chủ sở hữu sự cố
Thách thức
Khi các SOC m ở rộng quy mô, họ sẽ kết thúc theo phương pháp ti ếp cận
“bất kỳ ai có mặt” để chỉ định chủ sở hữu sự cố Điều này không chỉ dẫn đến khối lượng công việc không đồng đều cho các nhà phân tích vốn đã quá tải, mà còn dẫn đến việc chuyên môn của nhà phân tích b ị bỏ qua đối với các nhiệm vụ được giao Các sự cố được chỉ định không đúng cách cu ối cùng sẽ dẫn đến việc xử lý không đúng cách
Giải pháp
Bất cứ khi nào ch ủ sở hữu sự cố được chỉ định, Cortex XSOAR sẽ nghiên cứu chi tiết về tất cả các sự cố trước đây trong hệ thống, bao g ồm các loại
sự cố và nhiều trư ờng khác nhau Sử dụng công nghệ máy học, Cortex
XSOAR tham chiếu chéo dữ liệu này với số lượng nhà phân tích hi ện có
để đề xuất 03 nhà phân tích hàng đầu phù hợp nhất xử lý sự cố
Hình 1: Khuyến nghị nhà phân tích thông minh
Trang 2Cortex XSOAR nghiên c ứu các trường sự cố và khối lượng công việc của nhà phân tích trước khi đề xuất quyền sở hữu sự cố
Lợi ích
Những đề xuất này đảm bảo rằng khối lượng công việc không phải là tiêu chí duy nhất được xem xét trong quá trình phân công s ự cố Bằng cách nghiên cứu các loại và trường sự cố, Cortex XSOAR có th ể đưa ra đề xuất các nhà phân tích phù h ợp nhất để xử lý các sự cố về cả thời gian và
chuyên môn
Trường hợp sử dụng số 2: Đề xuất chuyên gia bảo mật
Thách thức
Xử lý từ đầu đến cuối của ứng phó sự cố hiếm khi là m ột quy trình riêng biệt Thật không may, các nhà phân tích SOC thư ờng hoạt động trong các phòng riêng biệt khi thực hiện các cuộc điều tra, mà không chú ý đ ến các
bộ kỹ năng cụ thể của đồng nghi ệp có thể hữu ích cho những sự cố phức tạp Các nhà phân tích ít kinh nghi ệm làm vi ệc tại đây, h ọ phải một mình đối mặt với các sự cố vì các nhà phân tích cấp cao đang bận rộn với các hoạt động hằng ngày khác
Giải pháp
Phòng War Room (Phòng Cu ộc chiến) của Cortex XSOAR cho phép th ực hiện điều tra hợp tác Đây là nơi các nhà phân tích có thể mời đồng đội của họ tham gia các cu ộc điều tra chung Ở đây, Cortex XSOAR s ử dụng máy học để nghiên cứu lịch sử của tất cả các sự cố đã đư ợc giải quyết, đặc biệt xem xét các thao tác thủ công được thực hiện bởi các nhà phân tích trong quá khứ Sau khi phân tích d ữ liệu này, Cortex XSOAR đ ề xuất 03 nhà phân tích hàng đầu, họ có thể cung cấp hỗ trợ liên quan cho một sự cố
cụ thể
Hình 2: Các quy ết định dựa trên phân tích l ịch sử
Trang 3Cortex XSOAR xem xét các thao tác th ủ công đư ợc thực hiện trong Phòng War Room và l ịch sử các sự cố đã đư ợc giải quyết trư ớc khi đ ề xuất các chuyên gia bảo mật tham gia điều tra
Lợi ích
Bằng cách vừa cho phép đi ều tra chung, vừa tạo điều kiện hình thàn h nhóm thông minh, War Room c ủa Cortex XSOAR báo trư ớc việc giảm thiểu thời gian giải quyết và tăng chất lượng giải quyết sự cố một cách nh ất quán Tính năng này cũng hoạt động như một người hướng dẫn cho các nhà phân tích ít kinh nghi ệm bằng cách làm nổi bật những chuyên gia nào có
thể giúp họ vượt qua các sự cố cụ thể, do đó gi ảm tỷ lệ sai sót và sự lo lắng của nhà phân tích
Trường hợp sử dụng số 3: Các lệnh bảo mật thường được sử dụng
Thách thức
Trong quá trình ti ến hành các cuộc điều tra thời gian thực sau khi phân lo ại
sự cố, các nhà phân tích có hàng trăm hành đ ộng bảo mật khả thi để lựa chọn Khi các SOC ti ếp tục mở rộng các stack (ngăn x ếp) sản phẩm của mình, có một sự khác biệt có thể quan sát thấy được về loại, thứ tự và mức
độ chính xác của các hành động bảo mật được thực hiện từ nhà phân tích này sang nhà phân tích khác Đi ều này dẫn đến thời gian và chất lượng giải quyết khác nhau đối với các sự cố tương tự, có thể tác động tiêu cực đến các thỏa thuận mức độ dịch vụ (các SLA) và theo dõi các chỉ số
Giải pháp
Khi các nhà phân tích b ắt đầu nhập lệnh bảo mật trong War Room c ủa
Cortex XSOAR, nền tảng này sẽ nghiên cứu các lệnh thủ công đư ợc sử dụng cho tất cả các sự cố thuộc loại đó trong quá kh ứ Dữ liệu này cho phép các đề xuất về lệnh bảo mật nào sẽ chạy trước Ngay cả khi các nhà phân tích đã chạy một số lệnh và bị mắc kẹt giữa cuộc điều tra, những đề xuất này có th ể giúp h ọ đi đúng hướng với các lệnh mà họ có thể đã bỏ lỡ
Trang 4Hình 3: Khuyến nghị về lệnh thông minh
Cortex XSOAR xem xét các l ệnh thủ công đư ợc thực hiện cho các lo ại sự
cố cụ thể để đề xuất các lệnh thường được sử dụng cho lo ại sự cố đó
Lợi ích
Các đề xuất về lệnh bảo mật giúp các nhà phân tích hư ớng tới tiêu chuẩn hóa quá trình ứng phó sự cố và đảm bảo rằng không có hành đ ộng thường được sử dụng nào bị bỏ sót đối với bất kỳ sự cố đơn lẻ nào Cuối cùng, nền tảng Cortex XSOAR giúp duy trì và cải thiện tình tr ạng SLA cho SOC bằng cách ngăn chặn các quy trình đi ều tra giả mạo bỏ sót các hành
động quan trọng Điều này cũng hỗ trợ trong việc quản lý kiến thức hữu cơ
và duy trì chuyên môn trong SOC
Trường hợp sử dụng số 4: Trực quan hóa các sự cố liên quan
Thách thức
Tốc độ và mức độ nghiêm trọng mà các sự cố bất ngờ xảy ra trong SOC thường khiến nhà phân tích bị giới hạn trong phạm vi hẹp Trong lúc tập trung vào sự cố đang diễn ra, các nhà phân tích có th ể không kết nối những
sự cố đó với bức tranh l ớn hơn và vẽ ra các m ẫu với các sự cố tương tự đã xảy ra trên hệ thống Đi ều này dẫn đến việc làm lại dư thừa cho các quy trình phản hồi đã được lưu trữ - nhưng chưa đư ợc khai thác trong n ền
tảng
Giải pháp
Đối với mỗi sự cố Cortex XSOAR, phần sự cố liên quan trình bày một bản
đồ trực quan dựa trên thời gian về các sự cố tương tự đã xảy ra trên hệ thống Cortex XSOAR nghiên c ứu dữ liệu và chi tiết chỉ báo của sự cố, xác định các mẫu và điểm tương đồng, đồng thời trực quan hóa dữ liệu đó ở dạng có thể đưa vào sử dụng
Trang 5Hình 4: D ữ liệu trực quan, có thể đưa vào s ử dụng
Cortex XSOAR tương quan các ch ỉ báo và dữ liệu sự cố để đưa ra sơ đồ hướng tâm theo thời gian thực về các sự cố liên quan cho từng trường hợp
Lợi ích
Thay vì giảm MTTR (Mean time to responese) ho ặc mệt mỏi do có quá nhiều cảnh bảo - vốn là những lợi ích tiêu chu ẩn của SOAR - tính năng các
sự cố liên quan tiến thêm m ột bư ớc và tăng kh ả năng điều tra của các nhà phân tích bằng cách cung c ấp cho họ các công cụ trực quan đ ể hiểu rõ hơn bức tranh toàn cảnh về SOC cũng như những sự cố có liên quan như th ế nào xuyên suốt một loạt các yếu tố
Trường hợp sử dụng số 5: Đơn giản hóa việc tạo tác vụ Playbook
Thách thức
Sau khi Playbook th ực hiện hành trình ban đ ầu từ trên giấy (hoặc trong suy nghĩ của các nhà phân tích) sang nền tảng SOAR, Playbook sẽ tạo điều kiện tạo ra phản hồi tự động nhưng có thể không trải qua bất kỳ quá trình
đo lường và đánh giá nào nữa Trừ khi các nhà phân tích nắm bắt được kiến thức tốt hơn từ nơi khác và đưa nh ững kiến thức đó vào nền tảng, lợi ích của những Playbook này cu ối cùng vẫn không thay đ ổi
Giải pháp
Cortex XSOAR không ch ỉ tạo điều kiện thuận lợi cho việc tạo các tác vụ Playbook tùy ch ỉnh, mà còn sử dụng công ngh ệ máy học để đẩy nhanh quá trình hình thành các tác v ụ có liên quan có th ể xác minh được Trong quá trình tạo các tác v ụ Playbook và ch ọn đầu vào, các nhà phân tích có th ể nhìn thấy các đề xuất cho các đ ối số và tham s ố phù hợp nhất với các đầu vào đó
Trang 6Hình 5: Khuyến nghị về đầu vào phù h ợp nhất
Cortex XSOAR tìm ra các tác v ụ Playbook đ ể nghiên cứu các đ ối số tự động hóa thường được sử dụng và đề xuất các đầu vào này trong quá trình tạo các tác vụ Playbook m ới
Lợi ích
Thay vì chỉ dừng lại ở mức giảm thiểu việc quá tải cảnh báo và phân tíc h
sự cố nhanh hơn, Playbook c ủa Cortex XSOAR còn s ử dụng công nghệ máy học để luôn đi theo con đư ờng cải tiến thông qua các tác v ụ hiệu quả hơn Điều này giúp giải quyết tình trạng trì trệ có thể xảy ra trong giai đoạn cuối cùng v ề hiệu quả của Playbook k hông linh ho ạt
Trường hợp sử dụng số 6: Trích xuất các sự cố trùng lặp
Thách thức
Lượng cảnh báo lớn thường dẫn đến sự xuất hiện nhiều của các sự cố trùng lặp Tuy nhiên, do các vectơ t ấn công khác nhau, các đi ểm cuối mục tiêu khác nhau hoặc biến đổi tinh vi, các s ự cố này đăng ký đ ộc lập trên nền tảng thông tin b ảo mật và quản lý sự kiện (SIEM) ho ặc SOAR của SOC Điều này dẫn đến công việc lặp đi lặp lại, gây mệt mỏi cho các nhà phân tích khi họ tiến hành rà soát các s ự cố trùng l ặp
Giải pháp
Người dùng Cortex XSOAR có thể tận dụng tính năng tự động hóa dùng ngay được để tạo danh sách các sự cố trùng lặp, dưới dạng tác vụ của
Playbook ho ặc tương tác trong War Room Máy h ọc Cortex XSOAR nghiên cứu cả dữ liệu đư ợc xác định trư ớc và môi trư ờng khách h àng, tìm ki ếm các nhãn tương tự, nhãn email (có liên quan đ ến các sự cố lừa đảo), thời gian xảy ra sự cố và các ch ỉ báo phổ biến để tạo danh sách này
Hình 6: T ự động hóa đ ể xác định các s ự cố trùng lặp
Cortex XSOAR xây d ựng danh sách sự cố trùng lặp bằng cách so sánh
Trang 7nhãn, tem thời gian và những đặc điểm chung khác gi ữa các sự cố
Lợi ích
Dễ dàng xác định và ghi l ại các sự cố trùng lặp, giúp loại bỏ khối lư ợng lớn công vi ệc thường xuyên ch o các nhà phân tích, giúp h ọ tập trung vào các nhiệm vụ có ý nghĩa và gi ải quyết vấn đề quan trọng hơn
Trường hợp sử dụng số 7: Tự động hóa phản hồi lừa đảo
Thách thức
Việc xem xét các s ự cố lừa đảo tiềm ẩn làm t ốn một khoảng thời gian đáng
kể cho nhiều nhóm SOC Các nhà phân tích dành ph ần lớn thời gian và năng lượng để điều tra các cuộc tấn công lừa đảo tiềm ẩn theo cách thủ công, họ sử dụng các công c ụ và dịch vụ khác nhau nhằm giúp cung c ấp dữ liệu phong phú về các chỉ báo đư ợc tìm th ấy trong email đ ể xem có bằng chứng ác ý nào tồn tại hay không Một số lượng lớn các sự cố tấn công lừa đảo như vậy thường yêu cầu một bước xem xét thủ công, trong đó nhiều sự
cố lừa đảo bị nghi ng ờ hóa ra là dương tính gi ả
Giải pháp
Khả năng của mô hình máy h ọc (ML) c ủa Cortex XSOAR có th ể giải quyết quy trình xem xét th ủ công này v ới mức độ chính xác và hiệu quả cao bằng cách sử dụng tính năng b ộ phân loại lừa đảo Bộ phân loại lừa đảo là một
mô hình h ọc chuyên sâu cho phép Cortex XSOAR phân tích và d ự đoán hành vi thông qua các lo ại và trường sự cố Các mô hình máy h ọc đư ợc sử dụng chủ yếu cho các sự cố lừa đảo và có thể được đào tạo để tự động nhận
ra, ví dụ: email lừa đảo hoặc thông tin URL h ợp pháp hoặc chứa thư rác và
dự đoán nếu có một cuộc tấn công lừa đảo tiềm ẩn
Hình 7: M ẫu kết quả của mô hình b ộ phân loại lừa đảo
Cortex XSOAR cung c ấp những đánh giá chi ti ết và cho phép các nhà phân tích hiểu đư ợc mô hình sẽ hoạt động như thế nào từ các khía c ạnh khác nhau để hiểu rõ hơn về các tác động dự kiến của việc áp dụng mô hình đó theo một cách nh ất định
Trang 8Lợi ích
Cortex XSOAR cho phép người dùng tận dụng ML một cách hiệu quả trong quá trình điều tra các sự cố lừa đảo Trong một vài bước ngắn, các SOC có thể định cấu hình đào tạo mô hình ML b ằng cách sử dụng mô hình và t ập lệnh có sẵn hoặc tùy chỉnh để xác định và phân tích các ch ỉ báo cụ thể, nhận phân tích chi ti ết về kết quả và nhận đư ợc khuyến nghị về việc
sử dụng mô hình đó trong quá trình ho ạt động Đây là m ột bư ớc tiến nữa trong hành trình t ự động hóa SOC giúp lo ại bỏ công việc thủ công không cần thiết
Kết luận
Đối với Cortex XSOAR, tự động hóa chỉ là một trong nhiều phương tiện để đạt mục đích: SOC chống tấn công Bằng cách phối hợp các hành động trên các sản phẩm, quản lý các sự cố trong nền tảng, cộng tác trong th ời gian thực và học hỏi từ tất cả dữ liệu theo ý của bạn, bạn thực sự có thể mang lại giá tr ị lớn nhất cho SOC c ủa mình
Tập trung “học hỏi” một nửa của máy học, Cortex XSOAR luôn tìm ki ếm những con đư ờng mới để tận dụng cơ sở ML của mình và cải tiến giúp nền tảng trở nên thông minh hơn v ới mỗi sự cố, đồng thời làm cho SOC cũng thông minh hơn