CrowdStrike 在2024年RSAC大會上推出先進的SIEM，提升人工智慧原生安全運營中心。

隨著網絡攻擊者以驚人的速度突破紀錄，每個安全運營中心（SOC）團隊必須探討如何利用人工智能（AI）來改變局勢。CrowdStrike CEO及共同創辦人George Kurtz近期分享的見解強調了令人擔憂的統計數據：攻擊者在獲得訪問權限後，只需兩分鐘零七秒即可在系統內部橫向移動，而下載工具包進行受損系統的偵察則僅需31秒。Kurtz在2024年RSAC大會上的主題演講中分享了這些見解，主題為《下一代SIEM：數據、安全、IT、工作流程自動化與AI的融合》。

AI在網絡安全中的迫切性

Kurtz強調安全團隊必須迅速分析大量數據，以檢測和應對威脅。“當今網絡攻擊的速度挑戰著傳統SIEM系統的能力，”他表示。“組織正在尋求提供更快投資回報的先進技術，同時降低總擁有成本。關鍵的安全數據主要存儲在Falcon平台內，從而減少將數據轉移到過時SIEM解決方案時所需的時間和開支。我們的統一架構結合了原生和第三方數據，利用AI和工作流程自動化，最終實現AI原生SOC的潛力。”

舊版SIEM的挑戰

隨著攻擊者不斷完善其方法，終端安全和身份安全之間的差距亦日益擴大。如果能有效聚合，終端數據能提供關鍵見解以預測入侵嘗試。“網絡安全的一個重大問題是管理數據的複雜性，”Kurtz指出。“這就是我創立CrowdStrike的原因。SOC團隊在面對海量數據時，難以識別威脅。”

依賴舊版SIEM的SOC團隊，卻發現這些系統已成為其負擔。分析師常常需在衝突的系統之間切換，浪費時間。他們必須通過各種工具來處理來自多個來源的數據，以驗證風險評分，這在緊急事件中尤其導致延遲。“查詢數據可能需要幾天時間，期間重要警報可能會被忽視。找到超越對手的方法至關重要。”

Kurtz以手機計劃的演變舉例，認為下一代SIEM應能實現可擴展的數據攝取，而不會顯著增加成本，讓組織能在沒有財務約束的情況下做出明智的安全決策。他強調有必要打破成本生產力曲線，讓客戶有效利用所有可用的數據來源。

以AI賦能防護者

Kurtz在2024年RSAC上推出CrowdStrike Falcon下一代SIEM創新，展示了為防護者提供合適工具以增強運作效率的必要性。他的演講強調了消除舊版SIEM限制的重要性，以及以AI能力強化SOC的必要性。值得注意的是，CrowdStrike向Falcon Insight客戶提供每天10GB的第三方數據攝取，無需額外費用，以展示下一代SIEM的速度和效果。

AI是Falcon下一代SIEM架構的核心，能自動解析和標準化數據，豐富數據集以改善威脅識別，並支持先進的威脅檢測和自動響應機制。“AI原生SOC不斷學習，”Kurtz解釋說。“每個組織對其員工和環境擁有獨特的見解，組織不應僅依賴供應商來獲取這一情報。系統必須在其上下文中識別惡意內部人員的特徵，並隨著時間進行調整。”

加速SOC性能

CrowdStrike的Falcon下一代SIEM旨在通過提供高達150倍的搜索速度和低80%的總擁有成本來提升SOC的性能，這解決了SOC面臨的兩大痛點：緩慢的性能和反應時間。

Falcon下一代SIEM的主要創新包括：

- 生成AI與工作流程自動化：Charlotte AI是CrowdStrike的生成AI助手，能以簡單易懂的語言提供Falcon資料和文件，縮短分析師的響應時間。

- 調查效率：AI自動將相關上下文關聯到單一事件中，生成摘要以加速調查。

- 自定義提示手冊：分析師可定義可重用的檢測和響應工作流程，加速事件解決。

- SOAR整合：新Fusion SOAR界面允許SOC分析師通過拖放界面簡化工作流程，提高運作效率。

- 自動化調查：自動化工作流程增強威脅獵捕能力，並整合Falcon與第三方工具的行動。

- 快速數據攝取：擴展生態系統，全新連接器將各類第三方IT與安全數據整合進Falcon平台。

- 雲連接器：為AWS、Azure及GCP提供綜合連接，簡化數據訪問和監控。

- 自動數據標準化：簡化數據上線過程，確保各來源的快速準確檢測。

- 高效數據管理：強化功能簡化監控及管理數據攝取狀態和健康。

- 增強分析師經驗與事件管理：自動增強技術自動為事件添加上下文資訊，加速調查。

- 協作工具：改進的視圖和通知促進分析師之間的協調響應。

- 威脅情報整合：分析師可無縫地將自定義威脅情報納入搜尋中。

CrowdStrike的創新使Falcon下一代SIEM成為提升SOC效率及回應能力的重要解決方案，應對瞬息萬變的網絡安全環境。