Thông thường, thuật ngữ “Học máy” thường được nhắc đến với các tiềm năng ứng dụng rất rộng lớn, tuy nhiên cũng bị nghi ngờ vì khả năng áp dụng trong thực tế. Với vai trò là một nền tảng tự động hóa điều phối xử lý sự cố, Cortex XSOAR - một trong ba bộ giải pháp chính của công ty Palo Alto Networks được xây dựng ngay từ đầu trên nền tảng học máy đã chứng minh giá trị của nó trong thực tế khi giúp rất nhiều khách hàng tăng hiệu quả hoạt động và mức độ trưởng thành của SOC. Theo chia sẻ thực tế của các khách hàng, năng lực học máy trên Cortex XSOAR giúp đội ngũ vận hành SOC phản hồi nhanh hơn khi xử lý sự cố, đẩy nhanh quá trình tạo và phát triển các playbook, các thao tác hoạt động trong SOC trở nên chính xác và hiệu quả hơn.
Dưới đây là một số ví dụ điển hình ứng dụng năng lực học máy trên Cortex XSOAR giải quyết các vấn đề thường gặp trong hoạt động vận hành SOC.
1. Khuyến nghị lựa chọn chuyên viên tiếp nhận xử lý sự cố
Các vấn đề gặp phải trong thực tế: Khi các SOC mở rộng quy mô, tăng trưởng số lượng chuyên viên, các chuyên viên được phân công tiếp nhận sự cố dựa theo cách lựa chọn “bất kỳ ai có khả năng tiếp nhận thêm các sự cố”. Điều này không chỉ dẫn đến khối lượng công việc không đồng đều cho các chuyên viên vốn đã quá bận và quá tải với các sự cố mà còn khiến cho chuyên môn của họ không được cân nhắc khi phân bổ công việc. Các sự cố được phân bổ không đúng cách, không đúng người có thể sẽ không được xử lý hiệu quả.
Giải pháp với Cortex XSOAR:
Khi phân bổ các sự cố, Cortex XSOAR sẽ phân tích toàn bộ các sự cố đã được xử lý trước đó với các thông tin chi tiết như loại sự cố, các trường thông tin, dữ liệu đi kèm. Sử dụng năng lực học máy, Cortex XSOAR sẽ so sánh chéo các thông tin này với khối lượng công việc hiện tại của các chuyên viên và đề xuất 3 chuyên viên phù hợp nhất để tiếp nhận xử lý sự cố.
Cortex XSOAR phân tích và đề xuất chuyên viên theo kinh nghiệm và khối lượng công việc thực tế
Lợi ích: Các đề xuất chuyên viên của Cortex XSOAR đảm bảo khối lượng công việc không phải là tiêu chí duy nhất để phân bổ các sự cố mà còn có thể lựa chọn chuyên viên có kinh nghiệm xử lý sự cố phù hợp nhất, đảm bảo đồng thời cả yếu tố thời gian, kinh nghiệm và chất lượng xử lý sự cố.
2. Đề xuất chuyên gia hỗ trợ xử lý sự cố
Thách thức: Xử lý sự cố không phải là một quá trình tách biệt và riêng rẽ của một cá nhân. Tuy nhiên, các chuyên viên xử lý sự cố, đặc biệt là các chuyên viên mới ít kinh nghiệm thường âm thầm tiếp nhận và xử lý các sự cố một mình, ít khi chú ý hoặc biết các kỹ năng của đồng nghiệp có thể giúp ích và khiến quá trình xử lý sự cố trở nên nhanh chóng và đơn giản hơn rất nhiều.
Giải pháp: Tính năng War Room trên XSOAR cho phép các chuyên viên hợp tác trong quá trình điều tra xử lý sự cố. War Room cho phép các chuyên viên có thể mời các đồng nghiệp tham gia ngay lập tức vào quá trình xử lý sự cố với cú pháp thân thiện như các chương trình chat phổ biến @chuyên_viên_được_mời. Điều đặc biệt thú vị ở đây, XSOAR sẽ áp dụng cơ chế học máy để phân tích lịch sử các sự cố đã được giải quyết, đánh giá các thao tác thủ công đã được thực hiện bởi các chuyên viên và đưa ra đề xuất 3 chuyên viên phù hợp nhất với sự cố đang được xử lý.
.jpg)
Cortex XSOAR phân tích và đề xuất các chuyên gia có kỹ năng phù hợp với sự cố đang xử lý
Lợi ích: Bằng cách tạo điều kiện thuận lợi và đơn giản cho quá trình phối hợp xử lý sự cố của các chuyên viên, XSOAR sẽ giúp giảm thời gian và tăng chất lượng, kết quả của công việc. Dựa trên sự đề xuất chính xác của XSOAR, các chuyên viên, đặc biệt là chuyên viên mới, sẽ không phải mất nhiều thời gian tìm hiểu lựa chọn các đồng nghiệp có kinh nghiệm, kỹ năng phù hợp để hỗ trợ mình hoàn thành nhiệm vụ được giao.
3. Tự động đề xuất các câu lệnh thường được sử dụng
Thách thức: Trong quá trình tiến hành điều tra xử lý sự cố, các chuyên viên thường có rất nhiều tác vụ cần thực thi như truy vấn thêm các thông tin từ hệ thống tường lửa, EDR, AD… Khi số lượng các thiết bị, thành phần của SOC tăng lên thì việc lựa chọn thứ tự cũng như các câu lệnh phù hợp để hỗ trợ quá trình xử lý sự cố sẽ giúp tăng đáng kể chất lượng xử lý sự cố cũng như tiết kiệm rất nhiều thời gian cho chuyên viên.
Giải pháp: Khi các chuyên viên nhập “!” để bắt đầu lựa chọn các câu lệnh, Cortex XSOAR sẽ nghiên cứu lịch sử các lệnh thủ công đã được thực thi với các loại sự cố tương ứng trước đó và đưa ra đề xuất các lệnh nên được thực thi trước. Ngay cả khi các chuyên viên đã đang thử một số lệnh và chưa tìm ra các thông tin phù hợp, tính năng này cũng có thể hỗ trợ họ đi đúng hướng với các lệnh mà họ đã có thể bỏ qua hoặc quên.
XSOAR đưa ra các đề xuất thông minh dựa trên phân tích dữ liệu lịch sử
Lợi ích: Tính năng tự động đề xuất các câu lệnh giúp tiêu chuẩn hóa quá trình điều tra xử lý, đảm bảo các câu lệnh phổ biến không bị bỏ quên với bất kỳ loại sự cố nào. Quan trọng nhất, nền tảng XSOAR sẽ đảm bảo và tối ưu SLA của SOC, ngăn chặn các quá trình điều tra xử lý thiếu thận trọng, bỏ quên các tác vụ quan trọng, cũng như tăng cường hiểu biết và kinh nghiệm cho các chuyên viên.
4. Hiển thị trực quan các sự cố tương đồng
Thách thức: Tần suất và số lượng các sự cố trong SOC thường rất lớn dẫn đến việc các chuyên viên phân tích khi tập trung vào phân tích xử lý một sự cố cụ thể sẽ rất khó có góc nhìn rộng hơn, kết nối sự cố hiện tại với một bức tranh lớn về các sự cố tương tự đã xảy ra trên hệ thống. Điều này có thể dẫn đến việc thực thi lại các tác vụ điều tra xử lý đã được làm.
Giải pháp: Với mỗi sự cố, Cortex XSOAR sẽ tự động phân tích và tìm các sự cố có đặc điểm tương đồng diễn ra trên hệ thống. Một biểu đồ trực quan, dễ dàng tương tác cho phép chuyên viên phân tích, tìm kiếm, điều chỉnh các mức độ tương đồng khác nhau hay theo mốc thời gian.
Biểu đồ trực quan, dễ dàng tương tác
Lợi ích: Không chỉ đơn thuần cung cấp khả năng tiếp nhận, giảm thời gian xử lý sự cố (MTTR) như các tính năng của giải pháp SOAR tiêu chuẩn, khả năng hiển thị trực quan các sự cố tương đồng cùng mức độ dễ dàng tương tác điều chỉnh bộ lọc sẽ tăng cường năng lực điều tra của chuyên viên trong SOC. Các chuyên viên sẽ được một góc nhìn rộng hơn về các sự cố đang xảy ra, giúp họ dễ dàng phân tích sự tương đồng, liên quan giữa các sự cố thông qua hàng loạt các thông tin, yếu tố.
5. Đơn giản hóa quá trình xây dựng các kịch bản xử lý sự cố (Playbook)
Thách thức: Sau khi tiếp nhận các sự cố từ các giải pháp như SIEM, XDR, Email, các giải pháp SOAR sẽ sử dụng các playbook để thực thi các tác vụ điều tra xử lý sự cố. Các playbook này sẽ bám sát các quy trình xử lý sự cố trong SOC và được cập nhật hoặc tạo mới khi có thêm các loại sự cố mới hoặc cần bổ sung các tương tác với các hệ thống mới trong SOC. Việc tạo hay cập nhật playbook có thể sẽ tốn nhiều thời gian trong việc lựa chọn các dữ liệu đầu vào phù hợp và thử nghiệm nhiều lần để đánh giá mức độ chính xác.
Giải pháp: Không chỉ cung cấp giao diện rất trực quan cho việc tạo, cập nhật các playbook với các thao tác kéo thả rất nhanh chóng và đơn giản (không cần kỹ năng lập trình hay viết các script khi tạo playbook), Cortex XSOAR còn áp dụng công nghệ học máy để phân tích và tự động đề xuất các giá trị đầu vào (input) phù hợp cho các task trong playbook. Tính năng này sẽ hỗ trợ rất nhiều cho các chuyên viên trong quá trình xây dựng playbook, tăng độ chính xác và rút ngắn thời gian đưa playbook vào hoạt động trong thực tế.
.JPG)
Cortex XSOAR tự động đề xuất các giá trị đầu vào phù hợp cho các task
Lợi ích: Không chỉ đơn thuần sử dụng các playbook để xử lý các sự cố, Cortex XSOAR sử dụng công nghệ học máy để giúp đẩy nhanh và tối ưu hóa việc tạo mới hoặc cập nhật các playbook, tiết kiệm thời gian của các chuyên viên cũng như tăng hiệu quả và liên tục tối ưu các playbook.
6. Trích xuất các sự cố trùng lặp
Thách thức: Lượng cảnh báo lớn thường dẫn đến việc có nhiều sự cố bị trùng lặp, điều này làm cho các chuyên viên phải tốn thêm thời gian khi phải lặp lại quá trình điều tra, xử lý. Nguyên nhân của sự trùng lặp có thể đến từ việc có nhiều hướng tấn công khác nhau, hoặc các cảnh báo sinh ra đồng thời trên nhiều nền tảng phân tích (XDR, SIEM…) và đây là một trong những yếu tố khiến cho các chuyên viên mệt mỏi và giảm hiệu quả hoạt động của SOC.
Giải pháp: Với Cortex XSOAR, chuyên viên có thể tự động hóa việc phát hiện và tạo danh sách các sự cố trùng lặp như sử dụng các playbook, các task trong playbook hoặc trong trực tiếp War Room. Cortex XSOAR sử dụng công nghệ máy học để phân tích các dữ liệu trong quá trình tiếp nhận và xử lý các sự cố, tìm kiếm các thông tin tương đương (như các email labels trong việc xác định các email phishing), thời gian xảy ra sự cố và các dấu hiệu phổ biến để xác định sự trùng lặp.
Tự động hóa việc xác định các sự cố trùng lặp với Cortex XSOAR
Lợi ích: Dễ dàng xác định và loại bỏ các sự cố trùng lặp giúp giảm tải cho các chuyên viên, giúp họ tập trung cho các nhiệm vụ quan trọng và nâng cao hiệu quả hoạt động của SOC.
7. Tự động xử lý các tấn công phishing
Thách thức: Các tấn công phishing rất phổ biến và diễn ra thường xuyên khiến cho các chuyên viên SOC phải dành nhiều thời gian để phân tích và xác định và xử lý các sự cố này. Thông thường, các chuyên viên sẽ phải thực hiện phân tích thủ công bằng cách sử dụng nhiều công cụ, nguồn thông tin để tìm kiếm, đối chiếu các IOC có trong các email phishing. Có rất nhiều trường hợp, sau khi tốn nhiều thời gian để phân tích, đánh giá thì lại là cảnh báo giả, không phải là email phishing, gây ra sự lãng phí rất lớn thời gian và công sức của chuyên viên cũng như giảm hiệu năng hoạt động của SOC.
Giải pháp: Năng lực học máy của Cortex XSOAR có thể giải quyết các công đoạn đánh giá thủ công này với độ chính xác rất cao bằng cách sử dụng bộ phân loại tấn công phishing. Bộ phân loại phishing là một mô hình học máy chuyên sâu cho phép Cortex XSOAR phân tích và dự đoán hành vi thông qua loại sự cố và các trường thông tin có trong các sự cố (như domain, IP, URL…). Mô hình học máy này có thể được sử dụng để tự động phát hiện các loại email phishing, địa chỉ URL hợp pháp hay chứa các nội dung spam, lừa đảo.
.JPG)
Ví dụ về kết quả phân loại của mô hình học máy phát hiện phishing
Lợi ích: Với khả năng áp dụng học máy trong tự động phát hiện xử lý các tấn công lừa đảo, Cortex XSOAR sẽ giúp các SOC tiết kiệm rất nhiều thời gian công sức của các chuyên viên. Tận dụng toàn bộ các thông tin về sự cố, các đánh giá phân tích của chuyên viên như đầu vào để đào tạo bộ phân loại nhận biết và phân loại giữa các tấn công phishing và cảnh báo giả sẽ giúp đảm bảo độ chính xác và phù hợp với môi trường thực tế tại SOC. Đây là một bước tiến nữa trong hành trình tự động hóa ở SOC, loại bỏ và giải phóng chuyên viên khỏi các tác vụ thủ công không cần thiết.
Lời kết
Đối với Cortex XSOAR, tự động hóa chỉ là một trong nhiều phương tiện để đạt được mục tiêu giúp SOC xử lý và ngăn chặn các tấn công một cách hiệu quả. Với khả năng tự động phối hợp thực hiện các tác vụ trên nhiều giải pháp (Firewall, IPS, EDR, SIEM…), tự động tiếp nhận quản lý các sự cố, phân công chuyên viên phù hợp, tương tác phối hợp giữa các thành viên theo thời gian thực và tận dụng khả năng học hỏi từ tất cả các nguồn dữ liệu, các sự cố, thao tác xử lý sự cố của các chuyên viên, năng lực và hiệu quả hoạt động của SOC sẽ được gia tăng theo thời gian.
Năng lực học máy của Cortex XSOAR liên tục được cải thiện và nâng cấp để giải pháp trở nên ngày càng thông minh, giúp SOC hoạt động hiệu quả và tốt hơn.
Tìm hiểu thêm về Cortex XSOAR
- Tìm hiểu và
thử nghiệm giải pháp: https://www.paloaltonetworks.com/company/cortex-xsoar-request-demo
- Đăng ký trải nghiệm phiên bản
miễn phí của Cortex XSOAR: https://start.paloaltonetworks.com/sign-up-for-community-edition.html