С кем поведешься, от того и наберешься
В этой заметке поговорим о том, как мы обучаем машины, а машины обучают нас.
Где-то с 2018 года у нас используется Автоаналитик, обучающийся на данных работы команды аналитиков. Помимо триажа и фильтрации ложных срабатываний, эта Модель каждому алерту проставляет рейтинг - вероятность, по "мнению" Модели, с которой этот алерт является следствием реального инцидента (True Positive Rate, TPR). Этот рейтинг виден в IRP и в виде числа, и в виде цветовой индикации, и, в целом, аналитики могут его использовать для принятия решения. Вот картинка и нашей IRP, см. колонку "ML".
В планах есть идти дальше, и обучать уже другую модель на даных действий, предпринимаемых аналитиками по расследованию алерта: какие запросы они делают в SIEM к сырым данным, какие обогащения дергают по каким полям каких событий в составе алерта, какую дополнительную обработку событий алерта запрашивают. Далее, этот "Автореспондер" сможет, вполне себе, дополнять "интеллектуальности" к жестко заданными плейбуками.
Невозможность принятия решения - это следствие нехватки данных, - с такой проблемой в одинаковой степени сталкиваются и ребята-аналитики и роботы-автоаналитики, поэтому, какие данные запрашивать в той или иной ситуации (для расследования того или иного алерта) Автоаналитика можно научить на статистике работы Аналитиков. Но верно и обратно, подсказки Автоаналитиков по тому, как расследовать алерты, могут использоваться новыми членами команды Аналитиков, и в этом случае уже Машина будет учить нас, Людей. Действительно, мы же обучаемся на типичных ситуациях, а не на уникальных, а все типичное, что было ранее, прекрасно "заучивается" Моделью.
По статистике только каждый десятый (один год было, что каждый седьмой, но все равно это - меньшинство, тьфу, тьфу, тьфу, через левое плечо, чтобы не сглазить) инцидент в значительной степени уникальный, требующий более-менее нестандартного расследования. Поэтому, можно ожидать, что "звездная команда" Автоаналиитк + Автореспондер будет вполне себе эффективно работать в ~90% случаев, соответствующим образом экономя ресурс команды аналитиков!