Big data levert interessante inzichten over het gedrag van users. Het helpt om te bepalen wat normaal gedrag is voor een specifieke gebruiker, maar vooral, wat abnormaal is en dringend onderzocht moet worden. Men zou kunnen concluderen dat big data een godsgeschenk is voor analisten. Helaas vormt de grote hoeveelheid aan data meteen één van de grootste uitdagingen van een analist. Het spotit SOC registreert bijna 7 miljard acties per maand. Dat zijn er 2.679 per seconde! U begrijpt meteen dat het onmogelijk is voor analisten om deze manueel te verwerken. Dat zou ten koste van de kwaliteit gaan. Hoe we dit oplossen? Automation tools!
Hoe werkt een automation tool?
Door security automation tools te gebruiken, wordt een groot deel van het werk van een analist al voor hem/haar gedaan. Zodra een melding binnenkomt, gaan deze tools de gebeurtenis gaan analyseren en beoordelen. Ze bepalen het risico en de bijhorende prioriteit. Zo kan een analist gemakkelijk de belangrijkste alerts eerst gaan behandelen.
U vraagt zich waarschijnlijk af hoe zo’n automation tool het risico en de prioriteit kan bepalen. Hiervoor werken we met scripts. De spotit engineers bepalen herkenningspunten voor de tools. Denk maar aan bestandsnamen, gebruikers, bepaalde acties, … Door deze scripts en herkenningspunten vast te leggen, kan zo’n automation tool de prioriteitenlijst gaan rangschikken.
Helaas is het opmaken van die scripts geen eenmalige taak. Door de continue vernieuwingen worden er altijd nieuwe acties gedetecteerd. Het blijft een cruciale taak voor de spotit engineers om de scripts te optimaliseren en deze nieuwe acties correct toe te voegen.
Daarnaast werken onze klanten niet allemaal met dezelfde tools. Elke tool evalueert meldingen op een andere manier. Deze worden doorgestuurd naar een centraal platform bij spotit, waar de risicobepalingen van de tools omgezet worden naar een uniforme risicobepaling. Dan pas kan een SOC analist correct de prioriteiten inschatten.
24/7 service
Spotit garandeert 24/7 service. Incidenten die plaatsvinden na de gebruikelijke kantooruren worden verstuurd naar een centraal punt zodat de SOC-analist het nodige werk kan verrichten. Wilt u graag gebruiken van onze service en het analyseren van meldingen overlaten aan onze spotit experts?