CrowdStrike 在2024年RSAC大會上推出先進的SIEM,提升人工智慧原生安全運營中心。

隨著網絡攻擊者以驚人的速度突破紀錄,每個安全運營中心(SOC)團隊必須探討如何利用人工智能(AI)來改變局勢。CrowdStrike CEO及共同創辦人George Kurtz近期分享的見解強調了令人擔憂的統計數據:攻擊者在獲得訪問權限後,只需兩分鐘零七秒即可在系統內部橫向移動,而下載工具包進行受損系統的偵察則僅需31秒。Kurtz在2024年RSAC大會上的主題演講中分享了這些見解,主題為《下一代SIEM:數據、安全、IT、工作流程自動化與AI的融合》。

AI在網絡安全中的迫切性

Kurtz強調安全團隊必須迅速分析大量數據,以檢測和應對威脅。“當今網絡攻擊的速度挑戰著傳統SIEM系統的能力,”他表示。“組織正在尋求提供更快投資回報的先進技術,同時降低總擁有成本。關鍵的安全數據主要存儲在Falcon平台內,從而減少將數據轉移到過時SIEM解決方案時所需的時間和開支。我們的統一架構結合了原生和第三方數據,利用AI和工作流程自動化,最終實現AI原生SOC的潛力。”

舊版SIEM的挑戰

隨著攻擊者不斷完善其方法,終端安全和身份安全之間的差距亦日益擴大。如果能有效聚合,終端數據能提供關鍵見解以預測入侵嘗試。“網絡安全的一個重大問題是管理數據的複雜性,”Kurtz指出。“這就是我創立CrowdStrike的原因。SOC團隊在面對海量數據時,難以識別威脅。”

依賴舊版SIEM的SOC團隊,卻發現這些系統已成為其負擔。分析師常常需在衝突的系統之間切換,浪費時間。他們必須通過各種工具來處理來自多個來源的數據,以驗證風險評分,這在緊急事件中尤其導致延遲。“查詢數據可能需要幾天時間,期間重要警報可能會被忽視。找到超越對手的方法至關重要。”

Kurtz以手機計劃的演變舉例,認為下一代SIEM應能實現可擴展的數據攝取,而不會顯著增加成本,讓組織能在沒有財務約束的情況下做出明智的安全決策。他強調有必要打破成本生產力曲線,讓客戶有效利用所有可用的數據來源。

以AI賦能防護者

Kurtz在2024年RSAC上推出CrowdStrike Falcon下一代SIEM創新,展示了為防護者提供合適工具以增強運作效率的必要性。他的演講強調了消除舊版SIEM限制的重要性,以及以AI能力強化SOC的必要性。值得注意的是,CrowdStrike向Falcon Insight客戶提供每天10GB的第三方數據攝取,無需額外費用,以展示下一代SIEM的速度和效果。

AI是Falcon下一代SIEM架構的核心,能自動解析和標準化數據,豐富數據集以改善威脅識別,並支持先進的威脅檢測和自動響應機制。“AI原生SOC不斷學習,”Kurtz解釋說。“每個組織對其員工和環境擁有獨特的見解,組織不應僅依賴供應商來獲取這一情報。系統必須在其上下文中識別惡意內部人員的特徵,並隨著時間進行調整。”

加速SOC性能

CrowdStrike的Falcon下一代SIEM旨在通過提供高達150倍的搜索速度和低80%的總擁有成本來提升SOC的性能,這解決了SOC面臨的兩大痛點:緩慢的性能和反應時間。

Falcon下一代SIEM的主要創新包括:

- 生成AI與工作流程自動化:Charlotte AI是CrowdStrike的生成AI助手,能以簡單易懂的語言提供Falcon資料和文件,縮短分析師的響應時間。

- 調查效率:AI自動將相關上下文關聯到單一事件中,生成摘要以加速調查。

- 自定義提示手冊:分析師可定義可重用的檢測和響應工作流程,加速事件解決。

- SOAR整合:新Fusion SOAR界面允許SOC分析師通過拖放界面簡化工作流程,提高運作效率。

- 自動化調查:自動化工作流程增強威脅獵捕能力,並整合Falcon與第三方工具的行動。

- 快速數據攝取:擴展生態系統,全新連接器將各類第三方IT與安全數據整合進Falcon平台。

- 雲連接器:為AWS、Azure及GCP提供綜合連接,簡化數據訪問和監控。

- 自動數據標準化:簡化數據上線過程,確保各來源的快速準確檢測。

- 高效數據管理:強化功能簡化監控及管理數據攝取狀態和健康。

- 增強分析師經驗與事件管理:自動增強技術自動為事件添加上下文資訊,加速調查。

- 協作工具:改進的視圖和通知促進分析師之間的協調響應。

- 威脅情報整合:分析師可無縫地將自定義威脅情報納入搜尋中。

CrowdStrike的創新使Falcon下一代SIEM成為提升SOC效率及回應能力的重要解決方案,應對瞬息萬變的網絡安全環境。

Most people like

Find AI tools in YBX