Alerta de accionabilidad en inglés sencillo de un practicante


En respuesta a los latest INGLETE Engenuidad Evaluación ATT & CK® 3, McAfee señaló cinco capacidades que son imprescindibless para Sec Ops y se muestra En tla evaluación. Este web site hablar con el alert acapacidad de ctionability cual es esencial. Thes crítico capacidad reaccionar de la manera más rápida posible, lo antes posible en la cadena de ataque, mientras se correlaciona, agregando y resumiendo toda la actividad posterior mientras lower la fatiga por alerta a permitir Sec Ops adefender eficientet accionabilidad.

Como comoec Ops practicante y exanalista, puedo recordar los días en que examinaba minuciosamente innumerables alertas para determinar si alguna de ellas podía clasificarse como un incidente. Dependía de mí decidir si la alerta era un falso positivo, una falsa alarma o algo que la empresa debería tomar más en serio … ¿era algo que deberíamos despertar a alguien en medio de la noche?

Han pasado años desde que me senté oEn primera línea, evaluando los resultados de millones de dólares en inversiones instaladas en cientos de miles de sistemas en todo el mundo. Gracias a Dios, los tiempos han cambiado. Pero el concepto de «Capacidad de acción de alerta» sigue siendo un aspecto muy genuine de las herramientas de SOC, y busca abordar 3 factores principales: confiabilidad, detalle, y capacidad de reacción.

Integridad

Cuando digo «confiabilidad» me refiero a una cualidad de fidelidad que tiene dos igualcaras de la eficacia, aunque opuestas: falsos positivos y falsos negativos. Ahora, sería muy fácil para un proveedor de soluciones SOC afirmar que su El producto ofrece una visibilidad del 100% si crea una alerta para cada actividad del proceso y artefacto registrado. Seguro, su la cobertura está presente, pero ¿qué tan útil es la aguja en una pila de agujas? Como resultado, el proveedor possible presionado para ajustarlo, está alertando y, como tal, presenta el riesgo de falsos negativos o eventos maliciosos reales que pasan desapercibidos. En el celo de apelar a requisitos de usabilidad la curva de falsos positivos disminuye, pero los volúmenes de falsos negativos no tienen más remedio que aumentar.

Dando como resultado un gráfico como este:

La salsa secreta de las capacidades del proveedor radica en su capacidad para empujar la intersección de estos lo más a la derecha posible: minimice los falsos positivos y maximice los verdaderos positivos al mismo tiempo que intenta reducir los falsos negativos a cero. Cuanto mejor pueda realizar el producto de un proveedor estos objetivos no triviales, más probabilidades tendrá de ganarse su confianza como solución. Y es más probable que confíe en los resultados que ve en el tablero.

Detección y respuesta de endpoints (EDR) las herramientas tienen una propiedad única en la que ofrecen tanto telemetría y alerta. Esto implica que hay dos objetivos para las plataformas EDR: incluir visibilidad a nivel de evento (telemetría) con detección automatizada y proporcionar capacidades de alerta para desencadenar acciones y triaje. Con la telemetría, el concepto de «falsificar«Se niega porque su utilizado en un contexto post-facto. Una vez construida la alerta, la telemetría se puede correlacionar con la lógica de la alerta para proporcionar detalles de apoyo. Simplemente, para la telemetría EDR, cuanto más, mejor.

Detalle

Como analista, recuerdo lo mucho que me encantaba armar las piezas para contar una historia. Extrayendo artefactos clave de varios dispar Las fuentes de datos y las hipótesis correlacionadas me permitieron presentar una caso convincente en cuanto a la conclusión de la disposición de la alerta. Y supe que necesitaba tantos detalles como fuera posible para hacer mi caso esto es igualmente cierto hoy. El detalle debe ser fácilmente accesible y es aún mejor cuando la plataforma proporciona el detalle de forma proactiva. En los casos en que tal evidencia de respaldo no sea posible en la alerta, la expectativa de un analista es que la plataforma facilite la búsqueda de esos detalles Incluso me atrevería a decir «una delicia».

Capacidades de reacción

Muchas plataformas de EDR en el mercado ofrecen capacidades de reacción a abordar el apodo de «Respuesta» del acrónimo. La flexibilidad de esas capacidades de respuesta en la plataforma proporciona un dominio de opciones para actuar. en respuesta a la alerta. Por ejemplo, es bastante evidente que una vez que se condena una alerta, el analista puede querer bloquear el proceso o eliminar un archivo del disco. Pero Estas reacciones implican que la convicción es monolítica en el sentido de que el analista es absolutamente seguro de su conclusión. ¿Qué pasa si la conclusión es que simplemente necesitamos más datos? Tener una biblioteca de reacciones robusta que permite una mayor investigación con rutinas como enviar una muestra a una caja de arena en ejecución, interactuar con un punto ultimate determinado para actuar como administrador, ver los registros del sistema o verificar el historial de conexiones de pink, todo ello permite al analista realizar más investigaciones. opciones. ¿Pero por qué detenerse ahí? Tener cualquier conjunto fijo de reacciones sería presuntivo. En cambio, los productos EDR con una biblioteca dinámica y una plataforma de reacción versatile, personalizable y modular son clave, ya que cada SOC con el que he trabajado tiene una gestión de incidentes y procedimientos operativos estándar únicos.

¿Que sigue?

MITRE ENGINUITY ™ publicó los resultados de sus 3rd ronda de evaluaciones ATT & CK® en abril 2021. La industria es sin duda afortunada de recibir tales 3rd pruebas de eficacia de partido en el mercado de EDR completamente gratis para los consumidores. Es increíblemente importante agregar que las evaluaciones de ATT & CK deben usarse como un solo componente de su programa de evaluación de EDR. La eficacia ayuda a determinar qué tan adecuado es el producto. es respondiendo preguntas como «¿Detectará una amenaza cuando la necesite?» o «¿Puedo encontrar lo que necesito, cuando lo necesito?». Pero los profesionales se dan cuenta de que también hay puntos fundamentales que deben abordarse en torno a la manejabilidad. Entendiendo eso no alertar sobre todo es tan importante como alertar sobre las cosas correctas. Y dándote una plétora de alertando capacidades de respuesta ayuda a completar la investigación de alertas y las acciones de respuesta. De McAfee MVISION EDR abarca todos estos factores clave de capacidad de acción de alerta y ayudará a desplazar los esfuerzos manuales en sus procesos de análisis. MVISION EDR de McAfee (pronto para evolucionar a MVISION Extendida Detección y respuesta (XDR)) Proporcionó información a través de detalles y alertas reducidas. fatiga durante la evaluación proporcionando contexto y enriquecimiento, lo que resulta en una proporción del 62% de detecciones analíticas (detecciones no telemétricas) de las 274 detecciones totales.

Verificar otra discusión de McAfee sobre MITRE (ver recursos pestaña.)





Enlace a la noticia original