Xây dựng SOC tự động, thông minh với Cortex XSOAR

Nền tảng học máy Cortex® XSOAR đàm bảo cho các trung tâm điều hành an ninh của khách hàng hoạt động bảo mật tinh gọn và hiệu quả hơn.

Tối ưu hóa hoạt động của SOC với năng lực trên Cortex XSOAR.

Thông thường, thuật ngữ “Học máy’ thường được nhắc đến với các tiềm năng ứng dụng rất rộng lớn tuy nhiên cũng bị nghi ngờ vì khả năng áp dụng trong thực tế. Với vai trò là một nền tảng tự động hóa điều phối xử lý sự cố, Cortex XSOAR được xây dựng ngay từ đầu trên nền tảng “Học Máy” và đã chứng minh giá trị của nó trong thực tế khi giúp rất nhiều các khách hàng tăng hiệu quả hoạt động và mức độ trưởng thành của SOC. Theo chia sẻ thực tế của nhiều khách hàng, năng lực học máy trên Cortex XSOAR giúp đội ngũ vận hành SOC phản hồi nhanh hơn khi xử lý sự cố, đẩy nhanh quá trình tạo và phát triển các playbook, các thao tác hoạt động trong SOC trở nên chính xác và hiệu quả hơn.

Dưới đây là một số ví dụ điển hình ứng dụng năng lực “Học Máy” trên Cortex XSOAR giải quyết các vấn đề thường gặp trong hoạt động vận hành SOC.

1. Khuyến nghị lựa chọn chuyên viên tiếp nhận xử lý sự cố

Các vấn đề gặp phải trong thực tế: Khi các SOC mở rộng quy mô, tăng trưởng số lượng chuyên viên, các chuyên viên được phân công tiếp nhận sự cố dựa theo cách lựa chọn “bất kỳ ai có khả năng tiếp nhận thêm các sự cố”. Điều này không chỉ dẫn đến khối lượng công việc không đồng đều cho các chuyên viên vốn dĩ đã quá bận và quá tải với những sự cố mà còn khiến cho chuyên môn của họ không được cân nhắc khi phân bổ công việc. Các sự cố được phân bổ không đúng cách, không đúng người sẽ có thể không được xử lý hiệu quả.

Giải pháp với Cortex XSOAR:

Khi phân bổ các sự cố, Cortex XSOAR sẽ phân tích toàn bộ các sự cố đã được xử lý trước đó với các thông tin chi tiết như loại sự cố, các trường thông tin, dữ liệu đi kèm. Sử dụng năng lực “Học Máy”, Cortex XSOAR sẽ so sánh chéo các thông tin này với khối lượng công việc hiện tại của các chuyên viên và đề xuất 3 chuyên viên phù hợp nhất để tiếp nhận xử lý sự cố.

Xây dựng SOC tự động, thông minh với Cortex XSOAR
Cortex XSOAR phân tích và đề xuất chuyên viên theo kinh nghiệm và khối lượng công việc thực tế.

Lợi ích: Các đề xuất chuyên viên của Cortex XSOAR đảm bảo khối lượng công việc không phải là tiêu chí duy nhất để phân bổ các sự cố mà còn có thể  lựa chọn chuyên viên có kinh nghiệm xử lý sự cố phù hợp nhất, đảm bảo đồng thời cả yếu tố thời gian, kinh nghiệm và chất lượng xử lý sự cố.

2. Đề xuất chuyên gia hỗ trợ xử lý sự cố

Thách thức: Xử lý sự cố không phải là một quá trình tách biệt và riêng rẽ của một cá nhân. Tuy nhiên các chuyên viên xử lý sự cố, đặc biệt là các chuyên viên mới ít kinh nghiệm thường âm thầm tiếp nhận và xử lý các sự cố một mình, ít khi chú ý hoặc biết các kỹ năng của đồng nghiệp có thể giúp ích và khiến quá trình xử lý sự cố trở nên nhanh chóng và đơn giản hơn rất nhiều.

Giải pháp: Tính năng War Room trên XSOAR cho phép các chuyên viên hợp tác trong quá trình điều tra xử lý sự cố. War Room cho phép các chuyên viên có thể mời các đồng nghiệp tham gia ngay lập tức vào quá trình xử lý sự cố với cú pháp thân thiện như các chương trình chat phổ biến @chuyên_viên_được_mời. Điều đặc biệt thú vị ở đây, XSOAR sẽ áp dụng cơ chế học máy để phân tích lịch sử các sự cố đã được giải quyết, đặc biệt đánh giá các thao tác thủ công đã được thực hiện bởi các chuyên viên và đưa ra đề xuất 3 chuyên viên phù hợp nhất với sự cố đang được xử lý.

Xây dựng SOC tự động, thông minh với Cortex XSOAR
Cortex XSOAR phân tích và đề xuất các chuyên gia có kỹ năng phù hợp với sự cố đang xử lý.

Lợi ích: Bằng cách tạo điều kiện thuận lợi và đơn giản cho quá trình phối hợp xử lý sự cố của các chuyên viên, XSOAR sẽ giúp giảm thời gian và tăng chất lượng, kết quả của công việc. Dựa trên sự đề xuất chính xác của XSOAR, các chuyên viên, đặc biệt là chuyên viên mới, sẽ không phải mất nhiều thời gian tìm hiểu lựa chọn các đồng nghiệp có kinh nghiệm, kỹ năng phù hợp để hỗ trợ mình hoàn thành nhiệm vụ được giao.

3. Tự động đề xuất các câu lệnh thường được sử dụng

Thách thức: Trong quá trình tiến hành điều tra xử lý sự cố, các chuyên viên thường có rất nhiều tác vụ cần thực thi như truy vấn thêm các thông tin từ hệ thống tường lửa, EDR, AD… Khi số lượng các thiết bị, thành phần của SOC tăng lên thì việc lựa chọn thứ tự cũng như các câu lệnh phù hợp để hỗ trợ quá trình xử lý sự cố sẽ giúp tăng đáng kể chất lượng xử lý sự cố cũng như tiết kiệm rất nhiều thời gian cho chuyên viên.

Giải pháp: Khi các chuyên viên nhập “!” để bắt đầu lựa chọn các câu lệnh, Cortex XSOAR sẽ nghiên cứu lịch sử các lệnh thủ công đã được thực thi với các loại sự cố tương ứng trước đó và đưa ra đề xuất các lệnh nên được thực thi trước. Ngay cả khi các chuyên viên đã đang thử một số lệnh và chưa tìm ra các thông tin phù hợp, tính năng này cũng có thể hỗ trợ họ đi đúng hướng với các lệnh mà họ đã có thể bỏ qua hoặc quên.

Xây dựng SOC tự động, thông minh với Cortex XSOAR
XSOAR đưa ra các đề xuất thông minh dựa trên phân tích dữ liệu lịch sử

Lợi ích: Tính năng tự động đề xuất các câu lệnh giúp tiêu chuẩn hoá quá trình điều tra xử lý, đảm bảo các câu lệnh phổ biến không bị bỏ quên với bất kì loại sự cố nào. Quan trọng nhất, nền tảng XSOAR sẽ đảm bảo và tối ưu SLA của SOC, ngăn chặn các quá trình điều tra xử lý thiếu thận trọng, bỏ quên các tác vụ quan trọng, cũng như tăng cường hiểu biết và kinh nghiệm cho các chuyên viên.

4. Hiển thị trực quan các sự cố tương đồng

Thách thức: Tần suất và số lượng các sự cố trong SOC thường rất lớn dẫn đến việc các chuyên viên phân tích khi tập trung vào phân tích xử lý một sự cố cụ thể sẽ rất khó có góc nhìn rộng hơn, kết nối sự cố hiện tại với một bức tranh lớn về các sự cố tương tự đã xảy ra trên hệ thống. Điều này có thể dẫn đến việc thực thi lại các tác vụ điều tra xử lý đã được thực thi, làm.

 

Giải pháp: Với mỗi sự cố, Cortex XSOAR sẽ tự động phân tích và tìm các sự cố có đặc điểm tương đồng diễn ra trên hệ thống. Một biểu đồ trực quan, dễ dàng tương tác cho phép chuyên viên phân tích, tìm kiếm, điều chỉnh các mức độ tương đồng khác nhau hay theo mốc thời gian.

Xây dựng SOC tự động, thông minh với Cortex XSOAR
Biểu đồ trực quan, dễ dàng tương tác

Lợi ích: Không chỉ đơn thuần cung cấp khả năng tiếp nhận, giảm thời gian xử lý sự cố (MTTR) như các tính năng của giải pháp SOAR tiêu chuẩn, khả năng hiển thị trực quan các sự cố tương đồng cùng mức độ dễ dàng tương tác điều chỉnh bộ lọc sẽ tăng cường năng lực điều tra của chuyên viên trong SOC. Các chuyên viên sẽ được một góc nhìn rộng hơn về các sự cố đang xảy ra, giúp họ dễ dàng phân tích sự tương đồng, liên quan giữa các sự cố thông qua hàng loạt các thông tin, yếu tố.

5. Đơn giản hóa quá trình xây dựng các kịch bản xử lý sự cố (Playbook)

Thách thức: Sau khi tiếp nhận các sự cố từ các giải pháp như SIEM, XDR, Email, các giải pháp SOAR sẽ sử dụng các playbook (các kịch bản xử lý sự cố) để thực thi các tác vụ điều tra xử lý sự cố. Các playbook này sẽ bám sát các quy trình xử lý sự cố trong SOC và được cập nhật hoặc tạo mới khi có thêm các loại sự cố mới hoặc cần bổ sung các tương tác với các hệ thống mới trong SOC. Việc tạo hay cập nhật playbook có thể sẽ tốn nhiều thời gian trong việc lựa chọn các dữ liệu đầu vào phù hợp và thử nghiệm nhiều lần để đánh giá mức độ chính xác.

Giải pháp: Không chỉ cung cấp giao diện rất trực quan cho việc tạo, cập nhật các playbook với các thao tác kéo thả rất nhanh chóng và đơn giản (không cần kỹ năng lập trình hay viết các script khi tạo playbook), Cortex XSOAR còn áp dụng công nghệ học máy để phân tích và tự động đề xuất các giá trị đầu vào (input) phù hợp cho các Task trong playbook. Tính năng này sẽ hỗ trợ rất nhiều cho các chuyên viên trong quá trình xây dựng playbook, tăng độ chính xác và rút ngắn thời gian đưa playbook vào hoạt động trong thực tế.

Xây dựng SOC tự động, thông minh với Cortex XSOAR
Xây dựng SOC tự động, thông minh với Cortex XSOAR
Cortex XSOAR tự động đề xuất các giá trị đầu vào phù hợp cho các task

Lợi ích: Không chỉ đơn thuần sử dụng các playbook để xử lý các sự cố, Cortex XSOAR sử dụng công nghệ học máy để giúp đẩy nhanh và tối ưu hóa việc tạo mới hoặc cập nhật các playbook, tiết kiệm thời gian của các chuyên viên cũng như tăng hiệu và liên tục tối ưu các playbook.

6. Trích xuất các sự cố trùng lặp

Thách thức: Lượng cảnh báo lớn thường dẫn đến việc có nhiều sự cố bị trùng lặp dẫn các chuyên viên phải tốn thêm thời gian khi phải lặp lại quá trình điều tra, xử lý. Nguyên nhân của sự trùng lặp có thể đến từ việc có nhiều hướng tấn công khác nhau, hoặc các cảnh báo sinh ra đồng thời trên nhiều nền tảng phân tích (XDR, SIEM…) và đây là một trong những yếu tố khiến cho các chuyên viên mệt mỏi và giảm hiệu quả hoạt động của SOC.

Giải pháp: Với Cortex XSOAR, chuyên viên có thể tự động hóa việc phát hiện và tạo danh sách các sự cố trùng lặp như sử dụng các playbook, các task trong playbook hoặc trong trực tiếp War Room. Cortex XSOAR sử dụng công nghệ máy học để phân tích các dữ liệu trong quá trình tiếp nhận và xử lý các sự cố, tìm kiếm các thông tin tương đương (như các email labels trong việc xác định các email phishing), thời gian xảy ra sự cố và các dấu hiệu phổ biến để xác định sự trùng lặp.

Xây dựng SOC tự động, thông minh với Cortex XSOAR
Tự động hóa việc xác định các sự cố trùng lặp với Cortex XSOAR

Lợi ích: Dễ dàng xác định và loại bỏ các sự cố trùng lặp giúp giảm tải cho các chuyên viên, giúp họ tập trung cho các nhiệm vụ quan trọng và nâng cao hiệu quả hoạt động của SOC.

7. Tự động xử lý các tấn công phishing

Thách thức: Các tấn công phishing rất phổ biến và diễn ra thường xuyên khiến cho các chuyên viên SOC phải dành nhiều thời gian để phân tích và xác định và xử lý các sự cố này. Thông thường các chuyên viên sẽ phải thực hiện phân tích thủ công bằng cách sử dụng nhiều công cụ, nguồn thông tin để tìm kiếm, đối chiếu các IOC có trong các email phishing. Có rất nhiều trường hợp, sau khi tốn nhiều thời gian để phân tích, đánh giá thì lại là cảnh báo giả, không phải là email phishing, gây ra sự lãng phí rất lớn thời gian và công sức của chuyên viên cũng như giảm hiệu năng hoạt động của SOC.

Giải pháp: Năng lực học máy của Cortex XSOAR có thể giải quyết các công đoạn đánh giá thủ công này với độ chính xác rất cao bằng cách sử dụng bộ phân loại tấn công phishing. Bộ phân loại phishing là một mô hình học máy chuyên sâu cho phép Cortex XSOAR phân tích và dựa đoán hành vi thông qua loại sự cố và các trường thông tin có trong các sự cố (như domain, IP, URL…). Mô hình học máy này có thể được sử dụng để tự động phát hiện các loại email phishing, địa chỉ URL hợp pháp hay chứa các nội dung spam, lừa đảo.

Xây dựng SOC tự động, thông minh với Cortex XSOAR
Ví dụ về kết quả phân loại của mô hình học máy phát hiện phishing

Lợi ích: Với khả năng áp dụng học máy trong tự động phát hiện xử lý các tấn công lừa đảo, Cortex XSOAR sẽ giúp các SOC tiết kiệm rất nhiều thời gian công sức của các chuyên viên. Tận dụng toàn bộ các thông tin về sự cố, các đánh giá phân tích của chuyên viên như đầu vào để đào tạo bộ phân loại nhận biết và phân loại giữa các tấn công phishing và cảnh báo giả sẽ giúp đảm bảo độ chính xác và phù hợp với môi trường thực tế tại SOC. Đây là một bước tiến nữa trong hành trình tự động hóa trong SOC, loại bỏ và giải phóng chuyên viên khỏi các tác vụ thủ công không cần thiết.

Lời kết
Đối với Cortex XSOAR, tự động hóa chỉ là một trong nhiều phương tiện để đạt được mục tiêu giúp SOC xử lý và ngăn chặn các tấn công một cách hiệu quả. Với khả năng tự động phối hợp thực hiện các tác vụ trên nhiều giải pháp (Firewall, IPS, EDR, SIEM…), tự động tiếp nhận quản lý các sự cố, phân công chuyên viên phù hợp, tương tác phối hợp giữa các thành viên theo thời gian thực và tận dụng khả năng học hỏi từ tất cả các nguồn dữ liệu, các sự cố, thao tác xử lý sự cố của các chuyên viên, năng lực và hiệu quả hoạt động của SOC sẽ được gia tăng theo thời gian.
Năng lực học máy của Cortex XSOAR liên tục được cải thiện và nâng cấp để giúp giải pháp trở nên ngày càng thông minh để giúp SOC hoạt động hiệu quả và tốt hơn.
Tìm hiểu thêm về Cortex XSOAR
-  Tìm hiểu và thử nghiệm giải pháp 
-  Đăng kí trải nghiệm phiên bản miễn phí của Cortex XSOAR.

An Nhiên

 
List comment
 

Theo chuyên gia, các clip ăn uống càng kỳ lạ, xấu xí, thậm chí phản cảm, gây ức chế cho người xem lại càng nhanh chóng lan truyền trên TikTok.

 

VLAKE cho phép xây dựng kho lưu trữ số dùng chung một cách linh hoạt, không giới hạn dữ liệu đầu vào và kết nối, giúp Chính phủ, doanh nghiệp giải quyết bài toán lưu trữ và xử lý dữ liệu lớn.

 

Gã khổng lồ công nghệ Trung Quốc đã trở thành cái tên đầu tiên được cấp phép triển khai robotaxi (taxi hoàn toàn không người lái) tại quốc gia đông dân nhất thế giới.

 

Hệ điều hành desktop nổi tiếng nhất của Google là Chrome OS, nhưng ít ai biết rằng trong nội bộ Google còn sử dụng distro Linux của riêng họ gọi là gLinux.

 

Ban đầu chỉ “code dạo” để có tiền đóng học, “hoàn cảnh xô đẩy” Trương Mạnh Quân lập công ty đầu tiên ở tuổi 20. 10 năm từ khi ra trường, Quân trở thành CEO kiêm founder của OpenCommerce Group - startup công nghệ phục vụ hơn 80.000 khách hàng.

 
 

Tổng cộng 9.241 nhân viên Alibaba đã nghỉ việc trong quý II, khiến số nhân sự giảm về 245.700.  

CMC Tân Thuận Data Center là trung tâm dữ tâm dữ liệu an toàn và hiện đại Việt Nam 2022 do tạp chí IBM bình chọn. Vậy CMC DC Tân Thuận có gì để đạt được điều này?

Theo nhà báo Mark Gurman của Bloomberg, Apple đã bắt đầu quay phim phục vụ sự kiện ra mắt iPhone 14. Năm nay, công ty vẫn tổ chức lễ công bố iPhone mới qua mạng.  

Microsoft, Sony và Nintendo đều ghi nhận doanh thu từ game sụt giảm. Nguyên nhân chính là mọi người ra ngoài nhiều hơn và dành ít thời gian chơi game hơn.  

Elon Musk chỉ trích Instagram vì cách nền tảng này khiến người dùng, bao gồm cả bản thân ông tiêu tốn thời gian.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123