Eskalaren arazoa SOC-ean
Erakunde ertain baten segurtasun-operazio zentroak (SOC) egunean hamarkadetako milako alerta prozesatzen ditu. Bakoitza aztertzeko giza gaitasuna funtsean mugatua da. Ondorioz, analistek alertak arau sinplifikatuen oinarrian hautatzen dituzte, eta benetako intzidenteak positibo faltsuen zaratara galtzen dira. Alerten nekeak mehatxu errealak desagertzeko arrazoirik ohikoenetako bat da.
Zer da SOAR eta nola funtzionatzen du
Security Orchestration, Automation and Response (SOAR) segurtasun-tresnak lotzen, zeregin errepikakorrak automatizatzen eta analisten lan-fluxua kudeatzen duen plataforma da. Mehatxuen detekzio-sistema batek jarduera susmagarri bat jakinarazten duenean, SOARek automatikoki playbook bat exekutatzen du — intzidente-motarako egokia den ekintza-sekuentzia.
Saio-hasiera susmagarrirako playbook tipiko bat honako hau izan daiteke: testuinguruaren bilketa (saio-hasieraren historia, IP geokokapena, maltzurrak diren helbide ezagunak), erabiltzailea oporraldia edo lan-bidaian dagoen egiaztatzea, hasierako arrisku-ebaluazioa, eta ondoren — emaitzaren arabera — kontuaren blokeatzea automatikoa edo erabiltzaileari egiaztapena bidaltzea.
AAren eginkizuna erantzunaren automatizazioan
Arau estatikoan oinarritutako SOAR tradizionalak eraginkortasun mugatua du playbook-ak sortzean aurreikusi ez diren mehatxuen aurrean. AAk gaitasun hauek hainbat modutan zabaltzen ditu:
- Alerten sailkapen eta lehentasuna — AA modeloak datu historikoetan ikasten dute zein alertek benetako intzidenteei eraman zituzten eta analisten ilara lehenesten dute.
- Mehatxuen testuinguratzea — iturri anitzeko seinaleen agregazioa eta itxuraz loturarik gabeko gertaeren korrelazio automatikoa eraso-narrazio koherente batean.
- Playbook-en egokitzapena — AA sistemak playbook-en aldaketak iradoki ditzake behatutako eraso-ereduetan oinarrituta, analistak arauak eskuz eguneratzeko denbora izan aurretik.
- Intzidenteen laburpenen sortzea — zuzendaritzarako eta erregulazio-prozesuetarako txostenen sortzea automatikoa.
Playbook eraginkorren diseinua
Playbook-ek automatizazioaren eta giza kontrolaren arteko oreka aurkitu behar dute. Arrisku baxuko eta ziurtasun handiko ekintzak — nabarimenki maltzurra den IP helbide baten blokeatzea, konprometitutako endpoint baten isolamendua karantena-sare batean — guztiz automatikoak izan daitezke. Kontu baten blokeaera iraunkorra, erregulatzaileei jakinaraztea edo kanpo-komunikazioa gizaki baten bitartez igaro behar dute beti.
Eraginkortasun-metrikak eta MTTR
Intzidenteei erantzuteko sistema baten metrika gakoa MTTR (Mean Time to Respond) da. AArekin SOAR inplementazioek MTTR erregularki ordu batzuetatik hamabost minutura murrizten dute intzidenteen klase tipikoetarako. Berdin garrantzitsua da positibo faltsuen tasa — faltsua den alarma bati erantzutea automatizatzeak operazio-eten larriak sor ditzake.
Segurtasun-ekosistemarekin integrazioa
SOAR plataforma baten balioa esponentzialki hazten da integrazio kopuruarekin. ESKOM.AI-ren sistema multiagenteek lehendik dauden segurtasun-tresnen gaineko orkestrazio-geruza gisa jardun dezakete, detekzio-plataformen, identitate-kudeaketaren, ticket-sistemen eta barneko komunikazio-tresnen arteko informazio-fluxua automatizatuz.