Tối ưu hóa hoạt động của SOC với năng lực trên Cortex XSOAR.
Dưới đây là một số ví dụ điển hình ứng dụng năng lực “Học Máy” trên Cortex XSOAR giải quyết các vấn đề thường gặp trong hoạt động vận hành SOC.
1. Khuyến nghị lựa chọn chuyên viên tiếp nhận xử lý sự cố
Các vấn đề gặp phải trong thực tế: Khi các SOC mở rộng quy mô, tăng trưởng số lượng chuyên viên, các chuyên viên được phân công tiếp nhận sự cố dựa theo cách lựa chọn “bất kỳ ai có khả năng tiếp nhận thêm các sự cố”. Điều này không chỉ dẫn đến khối lượng công việc không đồng đều cho các chuyên viên vốn dĩ đã quá bận và quá tải với những sự cố mà còn khiến cho chuyên môn của họ không được cân nhắc khi phân bổ công việc. Các sự cố được phân bổ không đúng cách, không đúng người sẽ có thể không được xử lý hiệu quả.
Giải pháp với Cortex XSOAR:
Khi phân bổ các sự cố, Cortex XSOAR sẽ phân tích toàn bộ các sự cố đã được xử lý trước đó với các thông tin chi tiết như loại sự cố, các trường thông tin, dữ liệu đi kèm. Sử dụng năng lực “Học Máy”, Cortex XSOAR sẽ so sánh chéo các thông tin này với khối lượng công việc hiện tại của các chuyên viên và đề xuất 3 chuyên viên phù hợp nhất để tiếp nhận xử lý sự cố.
Lợi ích: Các đề xuất chuyên viên của Cortex XSOAR đảm bảo khối lượng công việc không phải là tiêu chí duy nhất để phân bổ các sự cố mà còn có thể lựa chọn chuyên viên có kinh nghiệm xử lý sự cố phù hợp nhất, đảm bảo đồng thời cả yếu tố thời gian, kinh nghiệm và chất lượng xử lý sự cố.
2. Đề xuất chuyên gia hỗ trợ xử lý sự cố
Thách thức: Xử lý sự cố không phải là một quá trình tách biệt và riêng rẽ của một cá nhân. Tuy nhiên các chuyên viên xử lý sự cố, đặc biệt là các chuyên viên mới ít kinh nghiệm thường âm thầm tiếp nhận và xử lý các sự cố một mình, ít khi chú ý hoặc biết các kỹ năng của đồng nghiệp có thể giúp ích và khiến quá trình xử lý sự cố trở nên nhanh chóng và đơn giản hơn rất nhiều.
Giải pháp: Tính năng War Room trên XSOAR cho phép các chuyên viên hợp tác trong quá trình điều tra xử lý sự cố. War Room cho phép các chuyên viên có thể mời các đồng nghiệp tham gia ngay lập tức vào quá trình xử lý sự cố với cú pháp thân thiện như các chương trình chat phổ biến @chuyên_viên_được_mời. Điều đặc biệt thú vị ở đây, XSOAR sẽ áp dụng cơ chế học máy để phân tích lịch sử các sự cố đã được giải quyết, đặc biệt đánh giá các thao tác thủ công đã được thực hiện bởi các chuyên viên và đưa ra đề xuất 3 chuyên viên phù hợp nhất với sự cố đang được xử lý.
Lợi ích: Bằng cách tạo điều kiện thuận lợi và đơn giản cho quá trình phối hợp xử lý sự cố của các chuyên viên, XSOAR sẽ giúp giảm thời gian và tăng chất lượng, kết quả của công việc. Dựa trên sự đề xuất chính xác của XSOAR, các chuyên viên, đặc biệt là chuyên viên mới, sẽ không phải mất nhiều thời gian tìm hiểu lựa chọn các đồng nghiệp có kinh nghiệm, kỹ năng phù hợp để hỗ trợ mình hoàn thành nhiệm vụ được giao.
3. Tự động đề xuất các câu lệnh thường được sử dụng
Thách thức: Trong quá trình tiến hành điều tra xử lý sự cố, các chuyên viên thường có rất nhiều tác vụ cần thực thi như truy vấn thêm các thông tin từ hệ thống tường lửa, EDR, AD… Khi số lượng các thiết bị, thành phần của SOC tăng lên thì việc lựa chọn thứ tự cũng như các câu lệnh phù hợp để hỗ trợ quá trình xử lý sự cố sẽ giúp tăng đáng kể chất lượng xử lý sự cố cũng như tiết kiệm rất nhiều thời gian cho chuyên viên.
Giải pháp: Khi các chuyên viên nhập “!” để bắt đầu lựa chọn các câu lệnh, Cortex XSOAR sẽ nghiên cứu lịch sử các lệnh thủ công đã được thực thi với các loại sự cố tương ứng trước đó và đưa ra đề xuất các lệnh nên được thực thi trước. Ngay cả khi các chuyên viên đã đang thử một số lệnh và chưa tìm ra các thông tin phù hợp, tính năng này cũng có thể hỗ trợ họ đi đúng hướng với các lệnh mà họ đã có thể bỏ qua hoặc quên.
Lợi ích: Tính năng tự động đề xuất các câu lệnh giúp tiêu chuẩn hoá quá trình điều tra xử lý, đảm bảo các câu lệnh phổ biến không bị bỏ quên với bất kì loại sự cố nào. Quan trọng nhất, nền tảng XSOAR sẽ đảm bảo và tối ưu SLA của SOC, ngăn chặn các quá trình điều tra xử lý thiếu thận trọng, bỏ quên các tác vụ quan trọng, cũng như tăng cường hiểu biết và kinh nghiệm cho các chuyên viên.
4. Hiển thị trực quan các sự cố tương đồng
Thách thức: Tần suất và số lượng các sự cố trong SOC thường rất lớn dẫn đến việc các chuyên viên phân tích khi tập trung vào phân tích xử lý một sự cố cụ thể sẽ rất khó có góc nhìn rộng hơn, kết nối sự cố hiện tại với một bức tranh lớn về các sự cố tương tự đã xảy ra trên hệ thống. Điều này có thể dẫn đến việc thực thi lại các tác vụ điều tra xử lý đã được thực thi, làm.
Giải pháp: Với mỗi sự cố, Cortex XSOAR sẽ tự động phân tích và tìm các sự cố có đặc điểm tương đồng diễn ra trên hệ thống. Một biểu đồ trực quan, dễ dàng tương tác cho phép chuyên viên phân tích, tìm kiếm, điều chỉnh các mức độ tương đồng khác nhau hay theo mốc thời gian.
Lợi ích: Không chỉ đơn thuần cung cấp khả năng tiếp nhận, giảm thời gian xử lý sự cố (MTTR) như các tính năng của giải pháp SOAR tiêu chuẩn, khả năng hiển thị trực quan các sự cố tương đồng cùng mức độ dễ dàng tương tác điều chỉnh bộ lọc sẽ tăng cường năng lực điều tra của chuyên viên trong SOC. Các chuyên viên sẽ được một góc nhìn rộng hơn về các sự cố đang xảy ra, giúp họ dễ dàng phân tích sự tương đồng, liên quan giữa các sự cố thông qua hàng loạt các thông tin, yếu tố.
5. Đơn giản hóa quá trình xây dựng các kịch bản xử lý sự cố (Playbook)
Thách thức: Sau khi tiếp nhận các sự cố từ các giải pháp như SIEM, XDR, Email, các giải pháp SOAR sẽ sử dụng các playbook (các kịch bản xử lý sự cố) để thực thi các tác vụ điều tra xử lý sự cố. Các playbook này sẽ bám sát các quy trình xử lý sự cố trong SOC và được cập nhật hoặc tạo mới khi có thêm các loại sự cố mới hoặc cần bổ sung các tương tác với các hệ thống mới trong SOC. Việc tạo hay cập nhật playbook có thể sẽ tốn nhiều thời gian trong việc lựa chọn các dữ liệu đầu vào phù hợp và thử nghiệm nhiều lần để đánh giá mức độ chính xác.
Giải pháp: Không chỉ cung cấp giao diện rất trực quan cho việc tạo, cập nhật các playbook với các thao tác kéo thả rất nhanh chóng và đơn giản (không cần kỹ năng lập trình hay viết các script khi tạo playbook), Cortex XSOAR còn áp dụng công nghệ học máy để phân tích và tự động đề xuất các giá trị đầu vào (input) phù hợp cho các Task trong playbook. Tính năng này sẽ hỗ trợ rất nhiều cho các chuyên viên trong quá trình xây dựng playbook, tăng độ chính xác và rút ngắn thời gian đưa playbook vào hoạt động trong thực tế.
Lợi ích: Không chỉ đơn thuần sử dụng các playbook để xử lý các sự cố, Cortex XSOAR sử dụng công nghệ học máy để giúp đẩy nhanh và tối ưu hóa việc tạo mới hoặc cập nhật các playbook, tiết kiệm thời gian của các chuyên viên cũng như tăng hiệu và liên tục tối ưu các playbook.
6. Trích xuất các sự cố trùng lặp
Thách thức: Lượng cảnh báo lớn thường dẫn đến việc có nhiều sự cố bị trùng lặp dẫn các chuyên viên phải tốn thêm thời gian khi phải lặp lại quá trình điều tra, xử lý. Nguyên nhân của sự trùng lặp có thể đến từ việc có nhiều hướng tấn công khác nhau, hoặc các cảnh báo sinh ra đồng thời trên nhiều nền tảng phân tích (XDR, SIEM…) và đây là một trong những yếu tố khiến cho các chuyên viên mệt mỏi và giảm hiệu quả hoạt động của SOC.
Giải pháp: Với Cortex XSOAR, chuyên viên có thể tự động hóa việc phát hiện và tạo danh sách các sự cố trùng lặp như sử dụng các playbook, các task trong playbook hoặc trong trực tiếp War Room. Cortex XSOAR sử dụng công nghệ máy học để phân tích các dữ liệu trong quá trình tiếp nhận và xử lý các sự cố, tìm kiếm các thông tin tương đương (như các email labels trong việc xác định các email phishing), thời gian xảy ra sự cố và các dấu hiệu phổ biến để xác định sự trùng lặp.
Lợi ích: Dễ dàng xác định và loại bỏ các sự cố trùng lặp giúp giảm tải cho các chuyên viên, giúp họ tập trung cho các nhiệm vụ quan trọng và nâng cao hiệu quả hoạt động của SOC.
7. Tự động xử lý các tấn công phishing
Thách thức: Các tấn công phishing rất phổ biến và diễn ra thường xuyên khiến cho các chuyên viên SOC phải dành nhiều thời gian để phân tích và xác định và xử lý các sự cố này. Thông thường các chuyên viên sẽ phải thực hiện phân tích thủ công bằng cách sử dụng nhiều công cụ, nguồn thông tin để tìm kiếm, đối chiếu các IOC có trong các email phishing. Có rất nhiều trường hợp, sau khi tốn nhiều thời gian để phân tích, đánh giá thì lại là cảnh báo giả, không phải là email phishing, gây ra sự lãng phí rất lớn thời gian và công sức của chuyên viên cũng như giảm hiệu năng hoạt động của SOC.
Giải pháp: Năng lực học máy của Cortex XSOAR có thể giải quyết các công đoạn đánh giá thủ công này với độ chính xác rất cao bằng cách sử dụng bộ phân loại tấn công phishing. Bộ phân loại phishing là một mô hình học máy chuyên sâu cho phép Cortex XSOAR phân tích và dựa đoán hành vi thông qua loại sự cố và các trường thông tin có trong các sự cố (như domain, IP, URL…). Mô hình học máy này có thể được sử dụng để tự động phát hiện các loại email phishing, địa chỉ URL hợp pháp hay chứa các nội dung spam, lừa đảo.
Lợi ích: Với khả năng áp dụng học máy trong tự động phát hiện xử lý các tấn công lừa đảo, Cortex XSOAR sẽ giúp các SOC tiết kiệm rất nhiều thời gian công sức của các chuyên viên. Tận dụng toàn bộ các thông tin về sự cố, các đánh giá phân tích của chuyên viên như đầu vào để đào tạo bộ phân loại nhận biết và phân loại giữa các tấn công phishing và cảnh báo giả sẽ giúp đảm bảo độ chính xác và phù hợp với môi trường thực tế tại SOC. Đây là một bước tiến nữa trong hành trình tự động hóa trong SOC, loại bỏ và giải phóng chuyên viên khỏi các tác vụ thủ công không cần thiết.
|
Lời kết |
