AI SOC değerlendirmesi için kısa liste oluşturmak zor olabilir. SIEM, SOAR ve pureplay AI SOC satıcılarının hepsi aynı şeyi söylüyor. Ancak aynı etiketin arkasında, eski bir SIEM'e bağlanan sohbet asistanlarından, kendi veri temelleri üzerinde tespit, önceliklendirme, araştırma ve yanıt yürüten aracı platformlarına kadar çok farklı ürünler yer alıyor.
Bir platformun ekibiniz açısından sonuçları önemli ölçüde değiştirip değiştirmeyeceği, adının ne olduğundan daha önemlidir. Soruşturma süresini, hatalı pozitif hacmi, geri dönen analist saatlerini, SOC'nizi çalıştırmanın toplam maliyetini ve son olarak saldırıların hacmi, hızı ve karmaşıklığı arttıkça mimarinin bundan 2-3 yıl sonra dayanıp dayanamayacağını ölçebiliriz.
AI SOC Platformu Nedir?
AI SOC platformu, AI ajanlarının, insan gözetimi altında ilişkili güvenlik verileri üzerinde akıl yürüterek SOC'nin temel çalışmalarını (tespit, önceliklendirme, araştırma ve yanıt) yürüttüğü bir güvenlik operasyonları platformudur. Temel iş manuel olarak kalırken mevcut bir SIEM içindeki uyarıları özetleyen cıvatalı yapay zekadan farklıdır.
Satıcıların temsilci derken kastettiği şey, temel işi yapan aracılardır. Ayrım bir veri sayfasında ince görünebilir, ancak asıl kanıt POC'ler sırasındadır.
Sistem Güvenliği
Bir AI SOC Aracısını Tahmin Edilebilir Yapan Nedir?
Tahmin edilebilirlik, güvenebileceğiniz SOC otomasyonunu, bakıcılığını yaptığınız otomasyondan ayırır ve bu, bir model özelliğinden çok bir veri özelliğidir. Yalnızca uyarıları özetleyen bir aracı, yalnızca uyarı yükünden çalışabilir. Uyarıları kapatmak veya yanıt eylemlerini gerçekleştirmek için güvenilen bir aracının, ilgili varlık (kimlik, kaynak, cihaz/varlık), yapılandırmasının nasıl değiştiği ve varlık için normalin nasıl göründüğü ve diğer birçok faktör gibi çok daha fazla bağlama sahip olması gerekir.
Önemli Gelişmeler
Bu düzeyde bir güven için oluşturulan platformlar, herhangi bir uyarı tetiklenmeden önce bir araya getirilmiş, bir ortamdaki kimliklerin, kaynakların, konfigürasyonların ve davranış temellerinin ve bunlar arasındaki ilişkilerin sürekli güncellenen bir haritasını, gerçek zamanlı bir bilgi grafiğini korur. Bu bağlamda temellenen ve aşağıdaki kontrol listesinde yer alan katmanlı model mimarisiyle eşleştirilen bir aracı, tutarlı, kanıta dayalı kararlar verir. Bolt-on AI ters yönde çalışıyor ve bir uyarı geldikten sonra ham günlükleri sorguluyor; bu nedenle sonuçları inceleme altında çoğu zaman geçerli olmuyor. Genişlik de bir o kadar önemlidir. En güçlü platformlar, hiç kullanmadığınız kaynaklar için tespit kapsamı ekler, sürekli tehdit avı yapar ve olay henüz devam ederken müdahale etmeye başlar.
Satın Almadan Önce Test Edebileceğiniz 6 AI SOC Yeteneği
Aşağıdaki her özellik, konsept kanıtı sırasında, kendi ortamınızda veya bir satıcı demosunda canlı olarak kontrol edilebilir.
Gerçek zamanlı, ilişkili bir veri temeli. Bir yapay zeka kararı yalnızca arkasındaki bağlam kadar iyidir. Kimlik, konfigürasyon, kaynak ve temel verilerin sürekli olarak ilişkilendirilip ilişkilendirilmediğini (bilgi grafiği yaklaşımı) veya sorgulama sırasında ham günlüklerden bir araya getirilip getirilmediğini sorun. Hız tek başına pek bir şey ifade etmez; hızlı bir sorgu motoru da saniyeler içinde geri döner. Bunun yerine, rastgele bir kimlik seçin ve izinlerini (yönetici olsun ya da olmasın), yapılandırma sapmasını ve davranışsal temel çizgisini (normal konum, IP, ASN, kullanıcı aracısı vb.) anlayın. Bunların hiçbiri sorgu sırasında sahte olamaz. Tam yaşam döngüsü aracıları. Satıcının bir olayı, onu yaratan tespitten önceliklendirme, araştırma ve müdahale eylemi yoluyla uçtan uca yürütmesini sağlayın ve bağlamın her adımda devam edip etmediğini veya yeniden toplanıp toplanmadığını izleyin. Birçok platform, Seviye 1 önceliklendirmesini otomatikleştirir ve orada durur; bu da SOC'yi hızlandırmadan uyarı kuyruğunu hızlandırır. Kanıta dayalı, denetlenebilir kararlar. Bir kararın ardındaki kanıt izini (onu üreten her günlük satırı, korelasyon ve çıkarım) görmeyi isteyin ve analistlerinizin aynı verilerden bulguyu yeniden üretebildiğini doğrulayın. Denetleyemeyeceğiniz bir karar bir fikirdir. SIEM ötesinde algılama kapsamı. Gerçek olaylar bulutu, SaaS'ı, kimliği ve kodu aşıyor, ancak bu telemetrinin büyük bir kısmı hiçbir zaman SIEM'e ulaşmıyor çünkü onu almak çok maliyetli oluyor. Yüksek hacimli bulut denetim günlükleri, GitHub ve Google Workspace gibi yığınınızın karanlıkta bıraktığı kaynakları listeleyin, ardından satıcının bunlar üzerinde tetiklenen bir algılama ve bunlar arasında bir inceleme göstermesini sağlayın. İnsan gözetiminde aşamalı özerklik. İlk günkü tam özerklik bir uyarı işaretidir ve asla salt okunur erişimden fazlasını kazanamayan bir platform da öyle. Güvenin nasıl sahnelendiğini, hangi eylemlerin öneri olarak başladığını, hangi kanıt kayıtlarının otomatik yürütmenin kilidini açtığını ve kişinin hala nerede imza attığını araştırın ns kapalı. Bu eşikleri eylem türüne göre ayarlayabileceğinizi doğrulayın. Ölçülebilir sonuçlar. POC başlamadan önce sayıları tanımlayın: yanlış pozitiflik oranı ve araştırma ve yanıt için ortalama süre. Sonuçları mevcut temel seviyenize göre ölçün ve referans müşterilerinize ilk çeyrekte nelerin hareket ettiğini sorun. Sonunda satıcının sizin için çalıştırmasını isterseniz, yönetilen hizmetin ekibinizin çalıştıracağı ürünün aynısını kullandığından emin olun.
Sonuç ve Değerlendirme
Gündem: Exaforce'un Agentic SOC Platformu
Bu yetenekler etrafında tasarlanan platformlardan biri, dört Exabot'un SOC yaşam döngüsünün tamamını kapsayan aracı bir AI SOC platformu olan Exaforce'tur. Exabot Detect, yapay zeka algılama mühendisiniz olarak çalışır; Exabot Triage, Tier-3 derinliğiyle her uyarıyı bir karara bağlar, Exabot Investigate, herkesin tehdit avına yönelik engelini azaltır ve Exabot Respond, geri dönüşü olmayan her şeyi onaylayan bir insanla, öldürme zinciri boyunca eylemleri koordine eder.
Nasıl Önlem Alınmalı?
Dört Exabot'un tümü, bulut, SaaS, kimlik, uç nokta ve kod genelinde günlükleri ve yapılandırmayı alıp zenginleştiren birleşik bir gerçek zamanlı veri platformu üzerinde düşünüyor. Analistler bunların hepsini Exabot aracılığıyla sade bir dille sorguluyor. Aynı platform, ayrıştırıcılar, boru hattı bakımı ve genellikle bir taneyle birlikte gelen SIEM uzmanlarının işe alınması hariç, bir SIEM'in yerini alabilir. Guardant Health, Exaforce'u birincil SIEM ve MDR'si haline getirdi. Guardant Health'in Güvenlik Mühendisliği Direktörü Mike Shannon, "Artık sorgu yazmıyorum. Sadece Exabot'a soruyorum" diyor.
Ölçülen sonuçlar yukarıdaki yeteneklerle eşleşir. Görünmez kesim, %95 oranında inceleme süresi anlamına gelir; incelemeler saatler veya günlerden dakikalara iner. Forcepoint, elle tutulması gereken bir MSSP'yi Exaforce MDR ile değiştirdi ve artık P0 olaylarına müdahale etmek için ortalama 14 dakikalık süreye sahip.
Detaylar ve Etkileri
Platformu şirket içi ekibinizle çalıştırma veya MDR teklifi aracılığıyla Exaforce'un sizin için çalıştırmasını sağlama seçeneğiniz vardır. Mimari ve Exabot'lar her iki durumda da aynıdır; yalnızca onları işleten değişir.
Gelecekte Ne Bekleniyor?
Otonom SOC Ne Kadar Yakın?
Uzmanların Görüşleri
Exaforce dahil hiçbir platform, modern SOC'yi çözülmüş bir sorun haline getirmez. Mücadele, yapay zekaya karşı yapay zekadır ve bu, sınır modellerinde değil, ajanların üzerinde düşündüğü verilerde kazanılacaktır. Kimlik, varlıklar/cihaz, etkilenen kaynaklar ve temel davranışlarla ilişkili gerçek zamanlı verilere dayanan aracılar, tahmin edebileceğiniz, yeniden üretebileceğiniz ve denetleyebileceğiniz kararlar üreterek insanlara SOC'de yapay zekadan yararlanma konusunda güven aşılar.
Bir değerlendirmeye başlıyorsanız, Exaforce'un kendi primeri olan AI SOC nedir? temel bir okumadır. Ardından yukarıdaki altı yeteneği kısa listenizdeki her tedarikçinin önüne koyun ve Exaforce'un bunlara nasıl yanıt verdiğini görmek için bir demo talep edin.