CrowdStrike только что избавил SOC от 40-часовой боли: вот как они это сделали

«Мы не смогли бы этого сделать без нашей команды Falcon Complete», — рассказал VentureBeat Элия Зайцев, технический директор CrowdStrike. «Они проводят сортировку в рамках своего рабочего процесса, вручную обрабатывая миллионы обнаружений. Этот высококачественный, аннотированный человеком набор данных — то, что сделало возможным более 98% точности».Он продолжил: «Мы поняли, что злоумышленники все чаще используют ИИ для ускорения атак. С помощью Charlotte AI мы даем защитникам равные условия — увеличивая их эффективность и гарантируя, что они смогут идти в ногу с нападающими в режиме реального времени».

Как Charlotte AI Detection Triage обеспечивает большую масштабируемость и скорость для SOC

Команды SOC каждый день участвуют в гонке со временем, особенно когда речь идет о сдерживании времени прорыва. Недавний глобальный отчет об угрозах CrowdStrike показал, что злоумышленники теперь прорываются в течение 2 минут и 7 секунд после получения первоначального доступа.

Основными архитектурными целями Charlotte AI Detection Triage являются автоматизация сортировки SOC и сокращение ручных рабочих нагрузок при сохранении более 98% точности в оценке угроз. CrowdStrike сообщает об этом показателе точности на основе непрерывных реальных данных из среды Falcon Complete, которая ежемесячно обрабатывает миллионы решений о сортировке.

Разработанная для интеграции в существующие рабочие процессы безопасности и постоянной адаптации к меняющимся угрозам, платформа позволяет группам SOC работать более эффективно и быстрее реагировать на критические инциденты.

Ключевые особенности включают:

Автономная сортировка и закрытие оповещений с низким уровнем риска: отфильтровывает ложные срабатывания и закрывает оповещения с низким уровнем риска, позволяя аналитикам сосредоточиться на настоящих угрозах. Этот процесс снижает шум и позволяет группам SOC приоритизировать инциденты с высоким уровнем воздействия, одновременно минимизируя усталость от оповещений.

Интеграция Falcon Fusion для автоматизированного реагирования. Включает платформу оркестровки, автоматизации и реагирования безопасности (SOAR) CrowdStrike для оптимизации сортировки обнаружения и автоматизации рабочих процессов реагирования. Они основаны на пороговых значениях уверенности и сокращают среднее время реагирования (MTTR), а также гарантируют, что аналитики получат только самые релевантные, высокоточные обнаружения.

«В более ранних итерациях ИИ аналитику приходилось вызывать Charlotte вручную», — рассказал VentureBeat Элия Зайцев, технический директор CrowdStrike. «Теперь, благодаря Fusion, он может работать автономно — автоматически сортируя тысячи оповещений и даже запуская ответы, когда уверенность высока. Этот масштаб — то, что меня больше всего волнует».

Непрерывное обучение на основе крупнейшего в отрасли набора данных SOC: непрерывно обучаясь на миллионах экспертно-маркированных решений по сортировке в Falcon Complete, Charlotte AI Detection Triage адаптируется к новым методам атак в режиме реального времени. В отличие от универсальных моделей ИИ, которые полагаются на статические наборы данных, он совершенствует свою точность на основе реальных данных SOC, гарантируя точность даже по мере того, как злоумышленники развивают свою тактику.

«Что на самом деле меня больше всего воодушевляет, так это то, что [наши клиенты] могут подключить его к автоматизации платформы и просто автоматически сортировать все обнаружения», — сказал Зайцев. «Не просто сортировать все обнаружения, но и использовать выходные данные с помощью Fusion и использовать их для принятия дополнительных решений».

Он объяснил: «Например, Шарлотта говорит, что это действительно положительный результат с высокой степенью уверенности, берет сводку и открывает запрос в службу поддержки или тикет, направляет его команде, которая выполняет автоматизированное действие, например «сдерживание системы». Все это происходит в гораздо большем объеме и масштабе, что является другой частью, которая действительно воодушевляет меня в этой возможности».

CrowdStrike раскрывает «развертывание дроидов» многоИИ-архитектуры для задач SOC

Характер угроз, с которыми сталкивается SOC, меняется быстрее, чем могут справиться многие ручные подходы, порой перегружая автоматизированные системы. Растущие проблемы высоких объемов оповещений и ограничений ресурсов оказываются убедительным вариантом использования для развертывания нескольких специализированных агентов ИИ.

CrowdStrike называет свою архитектуру с несколькими ИИ подходом «развертывания дроидов», где каждый специализированный агент или «дроид» обучается для выполнения определенных задач. Вместо того чтобы полагаться на одну модель ИИ, Charlotte AI координирует работу нескольких специализированных агентов ИИ, каждый из которых обучен для выполнения определенных задач. Эти агенты ИИ работают вместе, чтобы анализировать, интерпретировать и реагировать на инциденты безопасности, повышая точность и снижая нагрузку на аналитиков.

Как подробно описывает Мариан Раду из CrowdStrike в Deploying the droids: Optimizing Charlotte AI’s performance with a multi-AI architecture, эта система объединяет достижения в области генеративных исследований ИИ, обширный набор данных CrowdStrike по разведке угроз и междоменную телеметрию, которая включает более десятилетия экспертно маркированных данных безопасности. Благодаря динамическому выбору лучшей серии агентов ИИ для каждой задачи, Charlotte AI улучшает обнаружение угроз и реагирование на них, сокращая ложные срабатывания и оптимизируя рабочие процессы SOC.

На диаграмме ниже показано, как работают агенты искусственного интеллекта Charlotte AI, ориентированные на конкретные задачи, с разбивкой каждого шага в процессе. Этот структурированный подход, основанный на искусственном интеллекте, позволяет командам SOC работать более эффективно, не жертвуя точностью или контролем.