That Escalated Quickly: An ML Framework for Alert Prioritization

要約

社内ソリューションの代わりに、サイバー防御のためのマネージド サービスへの移行がますます進んでいます。
セキュリティ オペレーション センターは、組織の防御を担当する専門のサイバーセキュリティ ユニットですが、脅威検出の大規模な一元化により、SOC は圧倒的な量の誤検出アラート (アラート疲れとして知られる現象) に耐えなければなりません。
不正確なセンサーの大規模なコレクション、既知の誤検知に適応できないこと、脅威のランドスケープの進化、およびアナリストの時間の非効率的な使用はすべて、アラート疲れの問題の一因となっています。
これらの問題に対処するために、アラート レベルとインシデント レベルのアクション可能性を予測することで、SOC ワークフローへの最小限の変更でアラート疲れを軽減する機械学習フレームワークである That Escalated Quickly (TEQ) を提示します。
実際のデータでは、システムはアクション可能なインシデントへの対応にかかる時間を $22.9\%$ 削減し、$95.1\%$ の検出率で $54\%$ の誤検知を抑制し、アラートの数を減らすことができます。
アナリストは $14\%$ までに特異なインシデントを調査する必要があります。

要約(オリジナル)

In place of in-house solutions, organizations are increasingly moving towards managed services for cyber defense. Security Operations Centers are specialized cybersecurity units responsible for the defense of an organization, but the large-scale centralization of threat detection is causing SOCs to endure an overwhelming amount of false positive alerts — a phenomenon known as alert fatigue. Large collections of imprecise sensors, an inability to adapt to known false positives, evolution of the threat landscape, and inefficient use of analyst time all contribute to the alert fatigue problem. To combat these issues, we present That Escalated Quickly (TEQ), a machine learning framework that reduces alert fatigue with minimal changes to SOC workflows by predicting alert-level and incident-level actionability. On real-world data, the system is able to reduce the time it takes to respond to actionable incidents by $22.9\%$, suppress $54\%$ of false positives with a $95.1\%$ detection rate, and reduce the number of alerts an analyst needs to investigate within singular incidents by $14\%$.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google