Résultats sectoriels : Les analystes dans les SOC bien financés passent souvent plus de temps à interroger les données qu'à les analyser. Le goulot d'étranglement de l'investigation n'est pas l'expertise, mais le temps nécessaire pour rassembler les...
par Taylor Kain
CAS D'USAGE
Efficacité du SOC & Intelligence d'investigation des incidents
Les opérations de sécurité ont vu leurs métriques se sophistiquer au cours de la dernière décennie. MTTD, MTTR, taux de faux positifs, utilisation des analystes — la performance opérationnelle des centres d'opérations de sécurité est désormais mesurée avec la rigueur de toute autre fonction commerciale. Et lorsque ces métriques sont analysées, un schéma cohérent émerge : une quantité disproportionnée de temps d'analyste est consacrée à l'assemblage des données plutôt qu'à l'analyse.
Un analyste enquêtant sur une alerte suspecte doit extraire des données de journal de plusieurs sources, recouper les enregistrements d'identité des utilisateurs, vérifier les informations sur les actifs des systèmes impliqués, examiner les alertes précédentes sur des entités connexes et corréler les données de chronologie entre les sources. Chacune de ces extractions de données nécessite une requête différente, un système différent et une syntaxe différente.
Les responsables des opérations de sécurité ont investi dans des plateformes SIEM, l'automatisation SOAR et l'intégration de renseignements sur les menaces pour résoudre ce problème. Ces investissements ont apporté de réelles améliorations. Ce qu'ils n'ont pas résolu, c'est le problème fondamental de la fragmentation des données : lorsque la version faisant autorité d'une question pertinente pour l'investigation nécessite de joindre des données provenant de systèmes qui n'ont pas été conçus pour communiquer entre eux, l'analyste devient la couche d'intégration.
Un analyste de niveau 2 capable de poser n'importe quelle question sur un incident et d'obtenir la réponse en quelques secondes effectue cinq fois plus d'analyses qu'un analyste qui doit interroger trois systèmes pour obtenir chaque élément du tableau.
Genie sert d'interface agentique au sein de Lakewatch, exploitant le raisonnement avancé des modèles Claude d'Anthropic pour fournir des opérations de sécurité agentiques. En intégrant les capacités de raisonnement de Claude, Lakewatch peut corréler des signaux complexes entre les données de sécurité, IT et métier en quelques secondes. Cela permet aux analystes de déployer des agents de sécurité défensifs qui ne se contentent pas de rechercher des données, mais qui comprennent le contexte de l'investigation pour identifier les menaces de haute fidélité plus rapidement que les flux de travail manuels ne le pourraient jamais.
Genie sert d'interface agentique au sein de Lakewatch, permettant aux analystes de passer de l'humain dans la boucle à l'humain aux commandes. Au lieu d'écrire du SQL complexe ou d'apprendre des langages de recherche propriétaires, les analystes utilisent Genie pour orchestrer des agents autonomes capables de chasser, de résumer et de recouper des pétaoctets de données en quelques secondes.
Genie permet aux équipes d'opérations de sécurité de poser des questions d'investigation en langage naturel sur l'ensemble de leur environnement de données de sécurité. Un analyste peut demander : 'Montrez-moi tous les événements d'authentification pour l'utilisateur X au cours des 7 derniers jours, les systèmes auxquels il a accédé, tous les événements d'accès aux fichiers associés aux données sensibles, et toutes les alertes connexes de notre EDR.' Cette synthèse d'investigation apparaît dans une seule réponse conversationnelle.
Réduire le MTTD n'est pas seulement un objectif ; c'est une exigence de survie. Comme l'a souligné Ali Ghodsi, co-fondateur et PDG de Databricks, lors de son discours d'ouverture à la RSA, nous assistons à un changement séculaire massif dans le paysage des menaces. Le Zero Day Clock montre qu'en 2018, le temps moyen entre la découverte d'une faille et son exploitation était de plus de deux ans. Aujourd'hui, cette fenêtre s'est réduite à seulement 1,3 jour.
Cette fenêtre d'exploitation de 1,3 jour est le « cul-de-sac architectural » des SIEM hérités. Bien que les données récentes suggèrent que le temps médian de détection des violations s'est considérablement compressé, cette médiane masque souvent une « longue traîne » de menaces sophistiquées qui restent indétectées pendant des mois en raison de lacunes de visibilité. Les humains seuls ne peuvent pas suivre cette vitesse d'exploitation. Nous sommes confrontés à des essaims d'agents IA qui attaquent n'importe où, tandis que les défenseurs sont toujours limités par des flux de travail manuels et la « taxe de sécurité » qui les oblige à jeter jusqu'à 75 % de leurs données.
Métrique | Nom complet | Définition | Importance commerciale |
MTTD | Temps moyen de détection | Le temps moyen qu'il faut à vos outils ou à votre équipe de sécurité pour identifier un incident de sécurité potentiel. | Critique : Un MTTD élevé indique un « manque de visibilité » où les attaquants peuvent opérer librement (le problème de la « longue traîne »). |
MTTR | Temps moyen de réponse | Le temps moyen entre le déclenchement d'une alerte et le début de la réponse ou de l'atténuation initiale. | Mesure l'agilité du SOC et l'efficacité de vos playbooks automatisés. |
MTTC | Temps moyen de confinement | Le temps moyen nécessaire pour isoler une menace et l'empêcher de se propager davantage sur le réseau. | La métrique principale pour limiter le « rayon d'explosion » et l'exfiltration potentielle de données. |
MTTI | Temps moyen d'investigation | Le temps moyen qu'un analyste passe à vérifier une alerte et à déterminer sa cause première et sa portée. | Met en évidence le « goulot d'étranglement de l'analyste » causé par la jointure manuelle de données entre des systèmes fragmentés. |
Pour combattre un essaim, il faut un essaim. Lakewatch et Genie représentent un changement fondamental. Lakewatch déploie des essaims d'agents défensifs qui automatisent la détection, le triage et l'investigation nativement là où résident vos données. Nous passons du triage à la vitesse humaine à la défense à la vitesse de la machine, plaçant le défenseur aux commandes pour orchestrer la défense autonome dans toute l'entreprise.
DATABRICKS GENIE · DIFFÉRENCIATEURS CLÉS
Conçu pour vos données, régi par vos règles, responsable devant tout chef d'entreprise.
Découvrez ce que Genie peut faire pour votre équipe
Databricks Genie est disponible dès aujourd'hui. Découvrez comment vos pairs de l'industrie l'utilisent pour réimaginer la manière dont ils accèdent à leurs données et agissent sur celles-ci.
(Cet article de blog a été traduit à l'aide d'outils basés sur l'intelligence artificielle) Article original
Abonnez-vous à notre blog et recevez les derniers articles directement dans votre boîte mail.