Команды центров безопасности (SOC) сталкиваются с возрастающим объемом оповещений, и CrowdStrike вводит Charlotte AI Detection Triage — систему, которая автоматизирует оценку оповещений с точностью более 98%, сокращая ручной триаж более чем на 40 часов в неделю, при этом не теряя контроля и точности.
«Мы не смогли бы этого сделать без нашей команды Falcon Complete. Они занимаются триажем в рамках своего рабочего процесса, вручную обрабатывая миллионы обнаружений. Именно эта высококачественная, вручную аннотированная база данных сделала возможной точность более 98%. Мы осознали, что злоумышленники все чаще используют AI для ускорения атак. С помощью Charlotte AI мы предоставляем защитникам равные возможности — увеличиваем их эффективность и гарантируем, что они смогут поддерживать темп с атакующими в реальном времени», — рассказал Элиа Зайцев, технический директор CrowdStrike, в интервью VentureBeat.
Команды SOC ежедневно находятся в гонке со временем, особенно когда речь идет о сдерживании угроз. Недавний глобальный отчет о угрозах CrowdStrike показал, что злоумышленники проникают в системы в течение 2 минут и 7 секунд после получения первоначального доступа.
Цель архитектуры Charlotte AI Detection Triage — автоматизировать процесс триажа в SOC и снизить ручную работу, при этом сохраняя точность оценки угроз на уровне более 98%. CrowdStrike сообщает, что этот показатель основан на постоянных данных из реального мира, поступающих из среды Falcon Complete, которая ежемесячно обрабатывает миллионы решений по триажу. Эта система была разработана для интеграции в существующие рабочие процессы безопасности и адаптируется к изменяющимся угрозам, что позволяет командам SOC работать эффективнее и быстрее реагировать на критические инциденты.
Система фильтрует ложные срабатывания и закрывает оповещения с низким уровнем риска, позволяя аналитикам сосредоточиться на реальных угрозах. Этот процесс снижает количество «шума» и позволяет командам SOC приоритизировать инциденты с высоким уровнем риска, минимизируя усталость от оповещений. Используя платформу оркестрации, автоматизации и реагирования на безопасность (SOAR) от CrowdStrike, процесс триажа оптимизируется и автоматизируются действия по реагированию, что снижает среднее время реакции (MTTR) и гарантирует, что аналитики получают только самые важные и точные оповещения.
«На ранних стадиях работы с AI аналитик должен был вручную запускать Charlotte. Теперь, через Fusion, она может работать автономно — автоматически обрабатывать тысячи оповещений и даже запускать реакции, когда уверенность в угрозе высока. Этот масштаб — то, что меня больше всего вдохновляет», — рассказал Элиа Зайцев.
Charlotte AI Detection Triage постоянно обучается на основе миллионов экспертных решений по триажу в среде Falcon Complete, адаптируясь к новым атакам в реальном времени. В отличие от общих моделей AI, которые полагаются на статические наборы данных, она улучшает свою точность на основе реальных данных SOC, обеспечивая актуальность даже в условиях изменяющихся тактик злоумышленников.
«Что на самом деле вдохновляет меня больше всего, так это то, что наши клиенты могут подключить эту систему к автоматизации и позволить ей автоматически обрабатывать все оповещения. Не просто обрабатывать, но и использовать выводы через Fusion для принятия дальнейших решений», — сказал Зайцев.
Например, если Charlotte определяет, что это истинное срабатывание с высокой степенью уверенности, она создает сводку, открывает поддержку или тикет и отправляет его команде, которая автоматически реагирует, например, блокируя систему.
Источник
Источник: habr.com
Похожие новости:
CrowdStrike: BSOD на миллионах ПК с Windows произошёл из-за неправильной проверки файла с помощью тестового ПО компании
Президент Crowdstrike лично принял награду за самый эпичный провал года на ИБ-конференции DEF CON 2024
Президент CrowdStrike лично принял награду за самый эпичный провал года на ИБ-конференции DEF CON 2024
Microsoft: Delta Airlines отказалась от бесплатной помощи и проигнорировала электронное письмо от Сатьи Наделла