13 Mayıs 2024Hacker HaberleriTehdit Algılama / SoC / SIEM

Son on yılda, BT ve Siber Güvenlik alanında ön saflardaki analistler ile üst düzey yönetim arasında giderek artan bir kopukluk yaşandı. Modern analistlerin karşılaştığı iyi belgelenmiş zorluklar, yüksek miktarda uyarı, yanlış pozitifler, teknik ortamların zayıf görünürlüğü ve analistlerin manuel görevlere çok fazla zaman harcaması etrafında dönüyor.

Uyarı Yorgunluğunun ve Yanlış Pozitiflerin Etkisi

Analistler uyarılardan bunalmış durumda. Bunun dolaylı etkisi, yorgun analistlerin olaylardaki önemli ayrıntıları kaçırma riskiyle karşı karşıya kalması ve genellikle zaman alıcı önceliklendirme görevlerini manuel olarak yürütmesi ve sonunda genel bir kapanış yorumunu kopyalayıp yanlış pozitif uyarıya yapıştırmasıyla sonuçlanmasıdır.

Her zaman yanlış pozitiflerin olması muhtemeldir. Ve birçok kişi, yanlış pozitifin, yanlış negatiften daha iyi olduğunu savunur. Ancak proaktif aksiyonların alınabilmesi için olayın özüne yaklaşmamız gerekiyor. Bu, analistlerin triyaj ve soruşturma sürecini nasıl yürüttüğünü derinlemesine incelemeyi gerektirir.

Triyaj ve Soruşturma için SHQ Müdahale Platformu

Tipik bir önceliklendirme süreci genellikle manueldir ve analistlerin bağlamsal bilgiler için bireysel günlük aramaları yapmalarını sağlar. Bu bilgiden yola çıkarak, olup bitenlerle ilgili bir hikaye oluşturmaya ve genel risk ölçeğine ilişkin bir fikir sağlamaya başlarlar.

SHQ Yanıt Platformu Log korelasyonu için Yapay Zekayı (AI) kullanıyor, farklı kaynaklardan bilgi çekiyor ve onu tek bir olay sayfasında görselleştiriyor. Buradan kritik veriler net bir zaman çizelgesinde sunulur ve yapılar portalda otomatik olarak güncellenir.

Araştırmacı analist, en önemli verilerin tek bir yerde sunulmasıyla gürültüyü ortadan kaldırabilir ve tek bir arayüzde kalabilir. Artık birden fazla günlük kaynağı arasında geçiş yapmaları veya ilgili günlükleri toplamak ve daha sonra bir güvenlik olayının öyküsünü anlamak için manuel SIEM aramaları yapmaları gerekmiyor.

SHQ Yanıt Platformu
Şekil 1: Olay Grafiği, SHQ Müdahale Platformu ©2024 SecurityHQ

Zaman çizelgesi işlevi aynı zamanda analistin bir uyarının veya kullanım senaryosu tetikleyicisinin arkasındaki mantığı araştırmasına da olanak tanır. Bu, arka uç entegre araçlar kullanılarak otomatik olarak engellenebilen ilgili Tehlike Göstergeleri (IoC’ler) ile gösterilir.

Kıdemli Paydaşlar için Olay Müdahale Platformu

Yanlış pozitiflere boğulmuş bunalmış analistler yaygın bir durumdur. SecurityHQ Küresel SOC operasyonları başkanı Deodatta Wandhekar bunu en iyi şekilde şöyle açıkladı:

‘SOC Olaylarının yüzde altmışı, temeldeki hafifletilmemiş riskler nedeniyle yeniden yüzeye çıkan tekrarlanan bulgulardır. Aktörler farklı olabilir; ancak risk çoğunlukla aynıdır. Bu da ciddi bir uyarı yorgunluğuna neden oluyor.’

Bir yandan teknik ayrıntı düzeyini korurken, hem iş hedeflerine hem de risk iştahına net bir şekilde odaklanarak bu boşluğun nasıl kapatılacağını düşünmek gerekir.

İşbirliği ve Strateji için Risk Kaydı

SecurityHQ’nun yerleşik özelliği Risk Kaydı analistlerin ve iş liderlerinin, stratejik iş kararlarını bilgilendirmek için operasyonel personelin teknik zekasını kullanarak azaltım faaliyetlerini yönlendirmek için birlikte çalışmasına olanak tanır.

Bu, analistlerin bir siber güvenlik programını yönlendirmede rol oynamasına olanak tanır. Bir düzeyde teknik sahipliğe sahip olunması, operasyonel analistler ve yönetim personeli arasında daha işbirlikçi bir yaklaşımı teşvik eder. Ayrıca, bir zamanlar aşırı çalışan analistlerin emeklerinin meyvelerinin daha geniş iş uygulamalarına yansıdığını açıkça görmelerine olanak tanır.

Sonraki adımlar

GüvenlikGenel Merkez hem danışmanlık ortağı hem de böyle bir platformun sahibi olarak, sezgisel ve yönetici dostu bir risk listesi sağlayarak yönetim ve analistler arasında daha iyi bir ilişki geliştirilmesine katkıda bulunur.

Buradan hareketle, bir Hizmet Seviyesi Anlaşması (SLA) dahilinde sadece ‘yangınla mücadele’ ve olayları kapatmak yerine proaktif yaklaşımlara ve yol haritalarına odaklanmak, bir şirkette anlamlı bir değişim fırsatı yaratır.

Daha fazla bilgi için, burada bir uzmanla konuşun. Bir güvenlik olayından şüpheleniyorsanız, bir olayı buraya bildirin.

Not: Bu makale SecurityHQ Kıdemli Siber Güvenlik Müdürü Tim Chambers tarafından ustalıkla yazılmıştır.



siber-2