Blog

Nov 02, 2023

Notation des alertes à l'échelle de la machine avec une touche humaine

La protection contre les risques numériques est un élément clé de toute organisation soucieuse de la sécurité.

La protection contre les risques numériques est un élément clé de la pile de renseignements modernes de toute organisation soucieuse de la sécurité. Le module Mandiant Advantage Digital Threat Monitoring (DTM) offre aux clients la possibilité d'obtenir une visibilité sur les menaces qui ciblent leurs actifs sur les médias sociaux, le Web profond et sombre, les sites de collage et d'autres canaux en ligne. DTM est composé de pipelines avancés de traitement du langage naturel qui utilisent l'apprentissage automatique pour afficher des alertes haute fidélité basées sur la détection d'entités significatives et de sujets liés à la sécurité. Mais même après avoir réduit le vaste entonnoir de collectes de Mandiant de millions de documents ingérés par jour à seulement un petit sous-ensemble des alertes les plus pertinentes, les clients peuvent encore passer un temps précieux à décider quelles alertes résultantes sont les plus pertinentes.

Points forts

L'expérience des principaux chercheurs en menaces, rétroingénieurs, analystes du renseignement et intervenants en cas d'incident de Mandiant est sans précédent, ayant défendu des organisations de toutes tailles en première ligne des cyberconflits depuis 2004. Les analystes experts comprennent les complexités sémantiques des alertes, identifient des concepts abstraits non directement observables dans les données et déterminent rapidement si une alerte doit faire l'objet d'une enquête le jour suivant ou dans l'heure qui suit. Mais comme l'examen humain ne s'adapte pas aux volumes de données de DTM, nous avons développé une nouvelle fonctionnalité de notation des alertes pour DTM qui combine les avantages de l'interaction pratique des analystes avec une couche complémentaire d'automatisation basée sur l'apprentissage automatique.

Un score unique ne peut pas tout dire sur une menace, et chaque client a des préférences et des exigences uniques en matière de hiérarchisation des alertes. C'est pourquoi nous avons développé le cadre de notation Mandiant, présenté lors de la conférence mWISE de cette année, pour tisser soigneusement les compétences humaines et de la machine. Cela nous permet d'étendre l'expertise de Mandiant à des millions d'alertes DTM par jour, de standardiser le processus pour tous les clients, de libérer du temps d'analyste pour d'autres tâches et de nous adapter à de nouvelles sources au fil du temps.

La notation des alertes DTM a été lancée et est généralement disponible pour les clients aujourd'hui ; elle est actuellement régie par deux composantes : Confiance et Gravité.

Le score de confiance d'une alerte DTM capture la certitude de la qualité du contenu malveillant de l'alerte compte tenu des preuves existantes. La confiance en alerte DTM est modélisée à l'aide d'une forme d'apprentissage semi-supervisé appelée supervision faible, qui reflète étroitement la façon dont un analyste pourrait poser des questions pour recueillir et peser des informations d'alerte pertinentes avant d'appliquer son jugement final (Figure 1).

Nous avons remarqué que les analystes évaluant les alertes ne prennent pas simplement la réponse d'une seule question pour déterminer la malveillance globale de chacune. Au lieu de cela, ils utilisent les réponses recueillies à partir d'une suite de questions approfondies, chacune avec ses propres attentes et sa propre fraction de certitude, pour parvenir à une conclusion. Nous pouvons modéliser chaque question par programmation comme une fonction d'étiquetage et chaque réponse comme son résultat associé pour une alerte donnée. Les analystes peuvent avoir des connaissances préalables supplémentaires sur l'influence que la réponse à l'une de leurs questions pourrait avoir sur la détermination de l'impact du verdict de confiance global, et nous pouvons modéliser cette attente à l'aide d'une probabilité a priori.

En utilisant une combinaison de ces priors initiaux avec des statistiques obtenues à partir de l'exécution de notre ensemble de fonctions d'étiquetage sur des millions d'alertes accumulées, nous pouvons former un modèle faiblement supervisé qui ajuste ses pondérations en fonction (1) de la fréquence à laquelle les fonctions d'étiquetage renvoient un résultat malveillant ou bénin, et (2) de la fréquence à laquelle elles sont en accord ou en désaccord les unes avec les autres. Le modèle appris peut ensuite être utilisé pour renvoyer un vote pondéré, ou une valeur mise à l'échelle entre 0 et 100, sur chaque alerte DTM nouvellement générée. Les scores de confiance peuvent être seuillés et calibrés à l'aide des critères suivants : moins de 40 indique bénin, entre 40 et 60 est indéterminé, entre 60 et 80 est suspect et supérieur à 80 indique malveillant.

L'un des aspects les plus attrayants de l'apprentissage faible est qu'il marie naturellement cette analyse basée sur les données avec la contribution directe des analystes. Ils peuvent définir de manière flexible des fonctions d'étiquetage interprétables et « programmer » essentiellement un modèle d'apprentissage automatique, sans aucun savoir-faire technique. Côté sortie, les analystes peuvent interagir davantage pour valider les scores, identifier les faiblesses des fonctions d'étiquetage bruyantes et les affiner avec une nouvelle logique de détection. Dans certains cas, les attentes antérieures des analystes peuvent ne pas être confirmées dans les données, créant des possibilités d'itération supplémentaires et offrant aux experts l'occasion de mettre à jour leurs propres notions préconçues de la malveillance des alertes.

Le score de gravité d'une alerte DTM catégorise l'impact des activités malveillantes possibles pour les alertes à haute confiance. La gravité est évaluée à l'aide d'un contexte supplémentaire, d'enrichissements et d'un jugement d'expert en aval de la confiance. Dans la division du travail du cadre de notation, le score de confiance aide initialement à supprimer tout bruit évident, et tout contexte disponible est ensuite utilisé par le modèle de notation de gravité pour diviser davantage les alertes de manière itérative en catégories élevées, moyennes ou faibles (Figure 2).

Comme le modèle de confiance, le modèle de gravité s'appuie sur les commentaires d'analystes experts, qui possèdent une compréhension approfondie et à jour de l'impact des différents types de menaces. Les analystes créent des expressions et des règles pour calculer la gravité d'une alerte, puis les soumettent à un moteur interne qui, à son tour, construit un arbre de décision. Le moteur de règles évalue cet arbre de décision pour calculer des statistiques de gravité sur des volumes élevés de données d'alerte, permettant aux analystes d'interroger ultérieurement les statistiques, de zoomer sur des alertes spécifiques et d'effectuer des itérations pour affiner les règles. De cette façon, les avantages de l'homme et de la machine sont combinés comme ils le sont dans le score de confiance - les analystes peuvent effectuer une analyse longitudinale des tendances des menaces sur des observations et une télémétrie à grande échelle - le tout sans avoir besoin de connaître les détails techniques sous le capot.

Dans cet article de blog, nous avons présenté un cadre de notation des alertes qui exploite à la fois les capacités humaines et machine pour faire évoluer l'intelligence et personnaliser son application. La notation d'alerte démontre l'importance d'utiliser ces approches complémentaires et tisse l'homme et la machine ensemble pour aboutir à de meilleurs résultats que l'un ou l'autre seul. Il est disponible dans le module Mandiant Advantage DTM, où les utilisateurs peuvent désormais classer les alertes dans leur tableau de bord Liste d'alertes et faire en sorte que chaque alerte modale affiche un score de gravité (Figure 3 et Figure 4).

Depuis le déploiement de nos modèles de notation des alertes en production, nous observons en moyenne 35,4 % d'alertes classées dans la catégorie Confiance faible, les alertes restantes ayant une confiance plus élevée étant classées en gravité 62,3 % faible, 32,8 % moyenne et 4,9 % élevée. En fin de compte, seuls 3,1 % de toutes les alertes et moins de 0,1 % de tous les documents ingérés sont classés dans la catégorie de gravité élevée. Cela se traduit par d'énormes économies de temps et d'argent que les clients peuvent désormais réaliser en priorisant leur triage.

Pour en savoir plus sur ces capacités de notation des alertes DTM récemment lancées, les clients existants peuvent consulter la documentation pour comprendre comment utiliser les alertes dans la plate-forme et les clients potentiels peuvent essayer Mandiant Advantage gratuitement ou contacter le service commercial.

Lien vers le flux RSS

Les experts Mandiant sont prêts à répondre à vos questions.