Ir para o conteúdo principal
Setores

Tempo médio para detecção é um problema de acesso a dados

Resultados do Setor: Analistas em SOCs bem financiados frequentemente gastam mais tempo consultando dados do que analisando-os. O gargalo da investigação não é a expertise — é o tempo que leva para montar os dados que a expertise necessita.

por Taylor Kain

  • Analistas de segurança gastam tempo desproporcional montando dados em sistemas fragmentados, limitando a velocidade e a eficácia da investigação.
  • Ferramentas SIEM e SOAR existentes melhoram os fluxos de trabalho, mas falham em eliminar o problema central da integração de dados entre sistemas.
  • Databricks Genie, dentro do Lakewatch, permite investigações baseadas em linguagem natural e orientadas por agentes, acelerando a detecção e a resposta em velocidade de máquina.

CASO DE USO
Eficiência de SOC e Inteligência de Investigação de Incidentes

Operações de segurança métricas se tornaram mais sofisticadas na última década. MTTD, MTTR, taxas de falsos positivos, utilização de analistas — o desempenho operacional de centros de operações de segurança é agora medido com o rigor de qualquer outra função de negócios. E quando essas métricas são analisadas, um padrão consistente emerge: uma quantidade desproporcional de tempo do analista é gasta na montagem de dados em vez de análise.

Um analista investigando um alerta suspeito precisa extrair dados de log de múltiplas fontes, cruzar registros de identidade de usuários, verificar informações de ativos dos sistemas envolvidos, revisar alertas anteriores em entidades relacionadas e correlacionar dados de linha do tempo entre fontes. Cada uma dessas extrações de dados requer uma consulta diferente, um sistema diferente e uma sintaxe diferente.

Por que o Tempo Médio para Detecção Estagna na Maioria dos SOCs

Líderes de operações de segurança investiram em plataformas SIEM, automação SOAR e integração de inteligência de ameaças para resolver este problema. Esses investimentos trouxeram melhorias reais. O que eles não resolveram é o problema fundamental da fragmentação de dados: quando a versão autoritativa de uma pergunta relevante para a investigação requer a junção de dados entre sistemas que não foram projetados para se comunicar, o analista se torna a camada de integração.

Um analista de Nível 2 que pode fazer qualquer pergunta sobre um incidente e obter a resposta em segundos está fazendo cinco vezes mais análise do que um analista que precisa consultar três sistemas para obter cada peça do quebra-cabeça.

Genie e Lakewatch para Investigação de SOC

Genie serve como a interface agentiva dentro do Lakewatch, aproveitando o raciocínio avançado dos modelos Claude da Anthropic para entregar operações de segurança agentivas. Ao integrar as capacidades de raciocínio do Claude, o Lakewatch pode correlacionar sinais complexos entre dados de segurança, TI e negócios em segundos. Isso permite que os analistas implementem agentes de segurança defensiva que não apenas buscam dados, mas entendem o contexto da investigação para apresentar ameaças de alta fidelidade mais rapidamente do que os fluxos de trabalho manuais jamais poderiam.

Genie serve como a interface agentiva dentro do Lakewatch, permitindo que os analistas passem de humano-no-controle para humano-no-comando. Em vez de escrever SQL complexo ou aprender linguagens de busca proprietárias, os analistas usam o Genie para orquestrar agentes autônomos que podem caçar, resumir e cruzar petabytes de dados em segundos.

Genie permite que as equipes de operações de segurança façam perguntas de investigação em linguagem natural em todo o seu ambiente de dados de segurança. Um analista pode perguntar: 'Mostre-me todos os eventos de autenticação para o usuário X nos últimos 7 dias, os sistemas que ele acessou, quaisquer eventos de acesso a arquivos associados em armazenamentos de dados sensíveis e quaisquer alertas relacionados do nosso EDR.' Essa síntese de investigação aparece em uma única resposta conversacional.

A Matemática do MTTD: de 200 Dias para Minutos

Reduzir o MTTD não é apenas um objetivo; é um requisito de sobrevivência. Como Ali Ghodsi, cofundador e CEO da Databricks, destacou durante sua keynote na RSA, estamos testemunhando uma mudança secular massiva no cenário de ameaças. O Zero Day Clock mostra que em 2018, o tempo médio de CVE para exploit armado era superior a dois anos. Hoje, essa janela colapsou para apenas 1,3 dias.

Esta janela de exploit de 1,3 dia é o 'beco sem saída arquitetônico' para SIEMs legados. Embora dados recentes sugiram que o tempo mediano de detecção de violação foi drasticamente comprimido, essa mediana muitas vezes mascara uma 'cauda longa' de ameaças sofisticadas que permanecem indetectadas por meses devido a lacunas de visibilidade. Os humanos sozinhos não conseguem acompanhar essa velocidade de armamento. Estamos enfrentando enxames de agentes de IA que atacam em qualquer lugar, enquanto os defensores ainda estão limitados por fluxos de trabalho manuais e o 'imposto de segurança' que os força a descartar até 75% de seus dados.

Métrica

Nome Completo

Definição

Significado para o Negócio

MTTD

Tempo Médio para Detecção

O tempo médio que suas ferramentas ou equipe de segurança levam para identificar um potencial incidente de segurança.

Crítico: Alto MTTD indica uma "lacuna de visibilidade" onde os atacantes podem operar livremente (o problema da "cauda longa").

MTTR

Tempo Médio para Resposta

O tempo médio desde o disparo de um alerta até o início da resposta ou mitigação inicial.

Mede a agilidade do SOC e a eficácia de seus playbooks automatizados.

MTTC

Tempo Médio para Conter

O tempo médio que leva para isolar uma ameaça e impedir que ela se espalhe ainda mais pela rede.

A métrica principal para limitar o "raio de explosão" e a potencial exfiltração de dados.

MTTI

Tempo Médio para Investigar

O tempo médio que um analista gasta verificando um alerta e determinando sua causa raiz e escopo.

Destaca o "gargalo do analista" causado pela junção manual de dados entre sistemas fragmentados.

Para combater um enxame, você precisa de um enxame. Lakewatch e Genie representam uma mudança fundamental. Lakewatch implanta enxames de agentes defensivos que automatizam a detecção, triagem e investigação nativamente onde seus dados residem. Estamos passando da triagem em ritmo humano para defesa em velocidade de máquina, posicionando o defensor no comando para orquestrar a defesa autônoma em toda a empresa.

DATABRICKS GENIE · DIFERENCIAIS PRINCIPAIS
Construído para seus dados, governado por suas regras, responsável perante qualquer líder de negócios.

  • Lake de dados de segurança unificado: Toda a telemetria de segurança em um só lugar — dados SIEM, EDR, NDR, IAM, CSPM em um único ambiente de consulta.
  • Reconstrução de linha do tempo: Genie pode montar linhas do tempo cronológicas de eventos entre fontes de dados — reduzindo o trabalho manual de reconstrução de incidentes.
  • Contexto de entidade: Contexto de usuário, dispositivo e aplicativo está sempre disponível ao lado dos dados de eventos — as investigações recebem contexto enriquecido automaticamente.
  • Controles de acesso em nível de analista: Analistas juniores e seniores acessam os dados apropriados para suas funções — a capacidade de investigação escala com a governança apropriada.

Veja o Que o Genie Pode Fazer Pela Sua Equipe

Databricks Genie está disponível hoje. Veja como seus pares do setor o estão usando para reimaginar como acessam e agem em seus dados.

(Esta publicação no blog foi traduzida utilizando ferramentas baseadas em inteligência artificial) Publicação original

Receba os posts mais recentes na sua caixa de entrada

Assine nosso blog e receba os posts mais recentes diretamente na sua caixa de entrada.

Ver todos os blogs