Verringerung der Lautstärke von Alarmen mit ION Alert Tuning
Der ION Detection Stack wird schnell erweitert, da unser Threat Detection Team kontinuierlich Unterstützung für neue Datenkonnektoren hinzufügt und benutzerdefinierte Analyseregeln für unsere Anwendungsfallbibliothek entwickelt. Derzeit unterstützen wir über 60 Datenkonnektoren, von verschiedenen Lösungen für SAP für unsere Unternehmenskunden bis hin zu Github für unsere Kunden aus der Softwareentwicklungsbranche, um nur einige Beispiele zu nennen.
Mit der zunehmenden Erkennungsabdeckung wächst jedoch auch das Volumen der Warnmeldungen, die unser Cyber Defense Center (CDC) verarbeiten muss. Während unser Erkennungsqualitäts-Framework “Triple-A” sicherstellt, dass der Erkennungsstapel zuverlässige Alarme generiert, sind zusätzliche Mechanismen erforderlich, um das Alarmvolumen zu reduzieren und sicherzustellen, dass nur relevante Vorfälle in die Ticket-Warteschlange unserer Cyber Defenders gelangen. Die Warteschlange frei von Vorfällen zu halten, die auf harmlose Aktivitäten zurückzuführen sind, ist der Schlüssel zur Verbesserung der betrieblichen Effizienz und zur Vermeidung von Ermüdungserscheinungen oder Burnout bei den Analysten.
Wenn Sie mehr darüber erfahren möchten, wie Ontinue das Ausbrennen von Analysten verhindert, besuchen Sie unseren Artikel: Verstehen und Bekämpfen von SOC-Analysten-Burnout
Abstimmung von Warnmeldungen während der Triage von Vorfällen
Die ION Alert Tuning Komponente innerhalb unserer Alarm-Pipeline triagiert automatisch Alarme, die sich auf bekannte gutartige Aktivitäten beziehen, die unsere Erkennungsregeln auslösen. Diese Aktivitäten werden in der Branche üblicherweise bezeichnet als Gutartige Positivmerkmale, Gutartige echte Positive, oder Echte Positive ohne Auswirkungen. Sie deuten darauf hin, dass die Erkennungslogik korrekt funktioniert und dass die Optimierung während des Triageprozesses und nicht innerhalb der Erkennungslogik selbst erfolgen sollte.
Die Sicherheitsprodukte von Microsoft bieten auch Funktionen für eine automatische Alarmtriage. Die Funktionen sind bekannt als Alert Tuning in Defender XDR und Regeln für die Automatisierung in Sentinel. Es gibt jedoch mehrere wichtige Unterscheidungsmerkmale, die ION Alert Tuning abgesehen von den Microsoft-eigenen Funktionen.
Transparenz
Wir berichten unseren Kunden transparent über alle Abstimmungsregeln. Jede Tuning-Regel enthält einen Verweis auf ein Ticket, in dem Cyber Defense Center dokumentiert, wie das Urteil der Untersuchung zustande gekommen ist. Je nach den Rules of Engagement (RoE) kann auch die Genehmigung des Kunden für das Tuning enthalten sein.
Wenn eine Tuning-Aktion auf Alarme angewendet wird, die einer Tuning-Regel entsprechen, wird dem entsprechenden Vorfall in Sentinel ein Tag hinzugefügt. Dieser Vorfall enthält die relevanten Alarme und einen von der CDC angegebenen Kommentar, der eine Begründung liefert und einen Prüfpfad im Arbeitsbereich des Kunden erstellt.
Alle aktivierten Tuning-Regeln werden monatlich an unsere Kunden gemeldet, um volle Transparenz zu gewährleisten.
Benutzerfreundlichkeit
Als unser KI-Agent führt eine vollständige Untersuchung durch, bevor sie eine detaillierte Zusammenfassung an unsere Cyber Defenders weitergibt, die von KI unterstützt werden ION IQ Einblicke schätzt automatisch die Wahrscheinlichkeit, dass es sich bei dem Vorfall um einen True Positive handelt. Diese Schätzung basiert sowohl auf historischen Daten des betroffenen Kunden als auch auf global gesammelten Leistungsinformationen über die Alarmsignatur. Bei Vorfällen, die denen ähneln, die zuvor als gutartig identifiziert wurden, ION IQ Einblicke schlägt auch die geeigneten Bedingungen für die Abstimmungsregeln vor und wählt automatisch die relevanten Entitäten aus dem Vorfall aus.
Zusammen, der Autonome Ermittler, ION IQ Einblicke, ION Automate und ION Alert Tuning bilden den Kern der Cyber Defender-Workbench, rationalisieren die Bedrohungsanalyse und ermöglichen eine datengesteuerte Entscheidungsfindung.
Autonomous Investigator gibt eine detaillierte Zusammenfassung der Untersuchung an unsere Cyber Defenders weiter.
Genauigkeit
Die Fähigkeit, genau zu definieren, welche Alarme automatisch eingestuft werden, ist von größter Bedeutung. Eine zu weit gefasste Abstimmungsregel kann zu blinden Flecken führen, in denen bösartige Aktivitäten zwar erkannt, aber nicht richtig eingestuft werden.
Im Kern ist eine Abstimmungsregel in ION Alert Tuning stimmt mit Ausschreibungsnamen mit Einrichtungen wie z. B. Hostnamen, Kontonamen oder Dateinamen, ähnlich wie Microsoft es mit Alert Tuning und Automation Rules anbietet.
Analysten können komplexe Abstimmungsregeln mit Bedingungen erstellen, die einen oder mehrere Warnnamen und Entitätstypen umfassen. Aus Gründen der Skalierbarkeit können die Regeln Listen von Entitäten enthalten, mit denen sie übereinstimmen, aber sie unterstützen auch reguläre Ausdrücke. Dadurch kann das CDC kundenspezifische Namenskonventionen für Hosts oder Konten einbeziehen oder mit Befehlszeilen arbeiten, die ähnlich, aber nicht identisch sind, was zusätzliche Flexibilität bietet.
Visuelle Darstellung einer ION Alert Tuning Regel
Die meisten Abstimmungsregeln treten in Kraft, sobald sie erstellt wurden. Für geplante Wartungsarbeiten oder von unseren Kunden angekündigte Sicherheitstests können wir jedoch bestimmte Zeiträume festlegen, in denen eine bestimmte Regel aktiv sein soll.
Während Triage-Aktionen wie die Schließung eines Vorfalls oder die Eskalation eines Vorfalls auf der Vorfallsebene durchgeführt werden, wird der Regelabgleich in ION Alert Tuning wird auf der Ebene der Warnmeldungen angewendet. Dadurch wird sichergestellt, dass ein Vorfall nur dann geschlossen wird, wenn alle darin enthaltenen Warnmeldungen einer Abstimmungsregel entsprechen. In allen anderen Fällen wird der Vorfall an die nächste Komponente in der Alert-Pipeline weitergeleitet, ION Automate.
Skalierbarkeit
Als Bestandteil unserer Alarm-Pipeline, ION Alert Tuning ist strategisch zwischen den Sentinel-Arbeitsbereichen unserer Kunden, in denen Warnungen generiert werden, und dem Ticketing-Tool von Cyber Defenders positioniert. Diese Platzierung ermöglicht die Anwendung von Tuning-Regeln sowohl auf der Ebene des einzelnen Kunden als auch auf globaler Ebene.
Letzteres ist besonders nützlich, wenn eine EDR-, IDS- oder benutzerdefinierte Anwendungssignatur das Alarmvolumen bei allen Kunden in die Höhe schnellen lässt. Diese harmlosen positiven Alarme werden oft durch Änderungen verursacht, die auf Betriebssystem-Updates oder Software-Installationen zurückzuführen sind. In solchen Fällen greifen unsere Cyber Defenders schnell ein, um zu verhindern, dass die Ticket-Warteschlange überlastet wird.
Schlussfolgerung
Gutartige Aktivitäten können Erkennungssignaturen auslösen, was zu Warnmeldungen führt. Da die Erkennungslogik korrekt angewandt wird und die Warnungen gerechtfertigt sind, sollte die Optimierung als Teil des Triage-Prozesses und nicht durch Aktualisierung der Erkennungslogik selbst erfolgen.
ION Alert Tuning ist die Komponente der ION-Plattform, die diese Funktionalität effizient bereitstellt und mehr als 75% der vom ION Detection Stack generierten Vorfälle automatisch triagiert.
ION Alert Tuning reduziert die Anzahl der Vorfälle, die eine manuelle Triage erfordern, um mehr als 75%.
Mit ION Alert Tuning Durch die Unterstützung des Triage-Prozesses sind echte Bedrohungen für unsere Cyber Defenders leichter zu erkennen, was die mittlere Reaktionszeit (MTTR) verbessert.