Branchenergebnisse: Analysten in gut finanzierten SOCs verbringen oft mehr Zeit mit der Abfrage von Daten als mit deren Analyse. Der Engpass bei der Untersuchung ist nicht die Expertise – es ist die Zeit, die benötigt wird, um die Daten...
von Taylor Kain
ANWENDUNGSFALL
Effizienz von SOC & Intelligenz für die Vorfalluntersuchung
Sicherheitsbetriebsmetriken sind im letzten Jahrzehnt immer ausgefeilter geworden. MTTD, MTTR, Raten falsch positiver Ergebnisse, Analystenauslastung – die operative Leistung von Security Operations Centern wird heute mit der gleichen Strenge gemessen wie jede andere Geschäftsfunktion. Und wenn diese Metriken analysiert werden, zeigt sich ein konsistentes Muster: Ein unverhältnismäßig großer Teil der Analystenzeit wird für die Datenzusammenstellung statt für die Analyse aufgewendet.
Ein Analyst, der eine verdächtige Warnung untersucht, muss Protokolldaten aus mehreren Quellen abrufen, Benutzeridentitätsdatensätze abgleichen, Systeminformationen für die beteiligten Systeme überprüfen, frühere Warnungen zu verwandten Entitäten einsehen und Zeitliniendaten aus verschiedenen Quellen korrelieren. Jede dieser Datenabfragen erfordert eine andere Abfrage, ein anderes System und eine andere Syntax.
Leiter des Sicherheitsbetriebs haben in SIEM-Plattformen, SOAR-Automatisierung und Threat-Intelligence-Integration investiert, um dieses Problem anzugehen. Diese Investitionen haben echte Verbesserungen gebracht. Was sie nicht gelöst haben, ist das grundlegende Problem der Datenfragmentierung: Wenn die maßgebliche Version einer für die Untersuchung relevanten Frage das Verknüpfen von Daten aus Systemen erfordert, die nicht dafür ausgelegt waren, miteinander zu kommunizieren, wird der Analyst zur Integrationsschicht.
Ein Analyst der Stufe 2, der jede Frage zu einem Vorfall stellen und die Antwort in Sekunden erhalten kann, leistet fünfmal mehr Analyse als ein Analyst, der drei Systeme abfragen muss, um jedes Puzzleteil zu erhalten.
Genie fungiert als agentische Schnittstelle innerhalb von Lakewatch und nutzt die fortschrittliche Schlussfolgerung von Anthropic Claude-Modellen, um agentische Sicherheitsoperationen zu liefern. Durch die Integration der Schlussfolgerungsfähigkeiten von Claude kann Lakewatch komplexe Signale aus Sicherheits-, IT- und Geschäftsdaten in Sekundenschnelle korrelieren. Dies ermöglicht es Analysten, abwehrende Sicherheitsagenten einzusetzen, die nicht nur nach Daten suchen, sondern den Kontext der Untersuchung verstehen, um hochgradig zuverlässige Bedrohungen schneller als manuelle Arbeitsabläufe zu erkennen.
Genie fungiert als agentische Schnittstelle innerhalb von Lakewatch und ermöglicht es Analysten, von menschlicher Steuerung zu menschlicher Führung zu wechseln. Anstatt komplexe SQL-Abfragen zu schreiben oder proprietäre Abfragesprachen zu lernen, verwenden Analysten Genie, um autonome Agenten zu orchestrieren, die Petabytes von Daten in Sekundenschnelle durchsuchen, zusammenfassen und abgleichen können.
Genie ermöglicht es Sicherheitsteams, Untersuchungsfragen in natürlicher Sprache über ihre gesamte Sicherheitsdatenumgebung hinweg zu stellen. Ein Analyst kann fragen: 'Zeigen Sie mir alle Authentifizierungsereignisse für Benutzer X in den letzten 7 Tagen, die Systeme, auf die er zugegriffen hat, alle damit verbundenen Dateizugriffsereignisse auf sensiblen Datenspeichern und alle zugehörigen Warnungen von unserem EDR.' Diese Untersuchungssynthese wird in einer einzigen Konversationsantwort angezeigt.
Die Reduzierung von MTTD ist nicht nur ein Ziel; es ist eine Überlebensnotwendigkeit. Wie Ali Ghodsi, Mitbegründer und CEO von Databricks, während seiner RSA-Keynote hervorhob, erleben wir eine massive säkulare Verschiebung in der Bedrohungslandschaft. Die Zero Day Clock zeigt, dass im Jahr 2018 die durchschnittliche Zeit von CVE bis zur Waffe eines Exploits über zwei Jahre betrug. Heute ist dieses Fenster auf nur 1,3 Tage geschrumpft.
Dieses 1,3-tägige Exploit-Fenster ist die 'architektonische Sackgasse' für Legacy-SIEMs. Während aktuelle Daten darauf hindeuten, dass die mittlere Erkennungszeit für Brüche dramatisch verkürzt wurde, verschleiert dieser Median oft einen 'langen Schwanz' von hochentwickelten Bedrohungen, die monatelang unentdeckt bleiben, aufgrund von Sichtbarkeitslücken. Menschen allein können mit dieser Geschwindigkeit der Bewaffnung nicht Schritt halten. Wir sehen uns Schwärmen von KI-Agenten gegenüber, die überall angreifen, während Verteidiger immer noch durch manuelle Arbeitsabläufe und die 'Sicherheitssteuer', die sie zwingt, bis zu 75 % ihrer Daten zu verwerfen, eingeschränkt sind.
Metrik | Vollständiger Name | Definition | Geschäftliche Bedeutung |
MTTD | Durchschnittliche Zeit bis zur Erkennung | Die durchschnittliche Zeit, die Ihre Sicherheitstools oder Ihr Team benötigen, um einen potenziellen Sicherheitsvorfall zu identifizieren. | Kritisch: Hoher MTTD weist auf eine "Sichtbarkeitslücke" hin, in der Angreifer frei agieren können (das "Long Tail"-Problem). |
MTTR | Durchschnittliche Zeit bis zur Reaktion | Die durchschnittliche Zeit von der Auslösung einer Warnung bis zum Beginn der ersten Reaktion oder Eindämmung. | Misst die Agilität des SOC und die Effektivität Ihrer automatisierten Playbooks. |
MTTC | Durchschnittliche Zeit bis zur Eindämmung | Die durchschnittliche Zeit, die benötigt wird, um eine Bedrohung zu isolieren und zu verhindern, dass sie sich weiter im Netzwerk ausbreitet. | Die primäre Metrik zur Begrenzung des "Schadensradius" und der potenziellen Datenexfiltration. |
MTTI | Durchschnittliche Zeit bis zur Untersuchung | Die durchschnittliche Zeit, die ein Analyst mit der Überprüfung einer Warnung und der Ermittlung ihrer Ursache und ihres Umfangs verbringt. | Hebt den "Analysten-Engpass" hervor, der durch manuelle Datenzusammenführung über fragmentierte Systeme verursacht wird. |
Um einen Schwarm zu bekämpfen, braucht man einen Schwarm. Lakewatch und Genie stellen eine grundlegende Veränderung dar. Lakewatch setzt Schwärme von Abwehragenten ein, die Erkennung, Triage und Untersuchung nativ dort automatisieren, wo sich Ihre Daten befinden. Wir bewegen uns von der menschlich gesteuerten Triage zur maschinellen Abwehr und positionieren den Verteidiger an der Spitze, um die autonome Abwehr im gesamten Unternehmen zu orchestrieren.
DATABRICKS GENIE · HAUPTDIFIERENZIERUNGEN
Gebaut für Ihre Daten, gesteuert nach Ihren Regeln, rechenschaftspflichtig gegenüber jedem Unternehmensleiter.
Sehen Sie, was Genie für Ihr Team tun kann
Databricks Genie ist ab sofort verfügbar. Erfahren Sie, wie Ihre Branchenkollegen es nutzen, um neu zu gestalten, wie sie auf ihre Daten zugreifen und darauf reagieren.
(Dieser Blogbeitrag wurde mit KI-gestützten Tools übersetzt.) Originalbeitrag
Abonnieren Sie unseren Blog und erhalten Sie die neuesten Beiträge direkt in Ihren Posteingang.