Axitea » Approfondimenti » Il Data Enrichment in un SOC Cyber per migliorare l’automazione dei processi

Approfondimenti

Il Data Enrichment in un SOC Cyber per migliorare l’automazione dei processi

Interessato alle soluzioni di sicurezza di Axitea?

Autore

Redazione Axitea

Un’azienda che decide di affidare la propria sicurezza cyber a un Security Operation Center esterno deve conoscere tutti gli aspetti rilevanti per valutare l’efficienza e l’efficacia del sistema di gestione degli allarmi informatici, in modo da scegliere il miglior partner.

L’automazione dei processi è un aspetto cruciale per garantire tempestività di reazione e sicurezza delle infrastrutture informatiche di un’azienda, ancor di più per un Security Operation Center che è responsabile del monitoraggio e della protezione dei sistemi informativi contro minacce esterne e interne.

Sono numerosi gli incidenti giornalieri in entrata di un SOC Cyber, risultato dei processi di correlazione, normalizzazione e deduplica con cui un moderno Security Operation Center gestisce gli eventi.

L’automazione dei processi guidata dall’Intelligenza Artificiale deve essere uno dei principali criteri di valutazione nella scelta di un SOC perché ne migliora l’efficienza e l’accuratezza delle operazioni, riducendo al contempo i tempi di risposta alle minacce, con evidenti benefici per le aziende che usufruiscono di questi servizi.

Come l’arricchimento dei dati consente l’automazione dei processi

In questo articolo ci concentreremo sull’arricchimento dei dati, la prima delle aree di miglioramento che l’automazione dei processi porta ai servizi gestiti di un Security Operation Center evoluto.

Un Security Operation Center maturo, per rispondere alle minacce informatiche di oggi, non può prescindere dal lavorare al miglioramento dei seguenti processi:

  • arricchimento dati degli incidenti,
  • deduplica degli stessi,
  • contestualizzazione e suggerimento agli analisti delle azioni raccomandate per gestire l’incidente.

Automatizzare per essere più veloci ed efficienti

Un Security Operation Center che automatizza i processi dovrebbe trovarsi almeno al terzo livello della tabella sotto riportata, nella fase in cui tutti i playbook (workflow di gestione degli eventi) sono personalizzati secondo le esigenze dei singoli casi d’uso, la piattaforma di ticketing è perfettamente integrata nel flusso di notifica incidenti, il triage non è più effettuato da operatori ma completamente automatizzato e le metriche principali sono sotto monitoraggio automatico.

soc maturity model
Security Operation Center Maturity Model – fonte: “Soar Maturity Model”, Anton Chuvakin.

Primo step: arricchire per poter automatizzare

Partendo dalle basi, la prima fase che agevola il lavoro degli analisti di un Security Operation Center in termini di velocità, efficacia e visualizzazione è l’arricchimento dei dati: per Data Enrichment si intendono tutti i processi che approfondiscono gli indicatori di compromissione presenti in un incidente, per mostrare all’analista informazioni aggregate e utili per prendere decisioni manualmente o guidare la tecnologia ad eseguire azioni raccomandate.

L’arricchimento è a sua volta diviso per tipologia per:

  1. Identificare azioni di contesto e privilegi di utenti attraverso integrazione con soluzioni IAM (Identity and Access Management) o Active Directory;
  2. Accedere a informazioni legate al tipo di asset ed al gruppo aziendale;
  3. Eseguire sandbox di analisi su file di allegati scaricati o malware prelevati dai sistemi;
  4. Analizzare IP o domini per valutarne data di creazione, conoscenza nella letteratura e attribuzione di eventuali gruppi APT;
  5. Aiutare la componente umana ad approfondire CVE (Common Vulnerabilities and Exposures) o TTP (Tactics, Techniques, and Procedures) secondo la matrice MITRE ATT&CK.

Il Data Enrichment nel SOC Axitea

Il Security Operation Center Axitea ha completato da tempo questo flusso di azioni, oggetto di forte attenzione perché riguarda tutti gli incidenti che vengono acquisiti quotidianamente e che non raggiungono tempi che superano i 2 minuti di esecuzione; l’efficacia di questo processo è propedeutico per i successivi step di automatizzazione dei processi, che andremo a descrivere nei prossimi articoli di approfondimento.

La visualizzazione per gli analisti del SOC Axitea è aggregata in modo da consentire la condivisione di note specifiche sull’analisi e il tag degli indicatori come evidenze, in modo che si possano generare report puntali a seguito di chiusura dell’incidente (anch’essi in modo automatico).

Scopri le soluzioni Managed Siem di Axitea.

Ico-pos-Rilevazione intrusione

Interessato alle soluzioni di sicurezza di Axitea?

Scroll to Top
Torna su