成熟したSOCでは、エスカレーションはメスのようにすべきで、シャベルではありません。Tier 1からTier 2に移動するすべてのアラートには重みがあるべきです:検証されたコンテキスト、明確な疑いがあり、より深い専門知識を費やす理由があります。
しかし多くのチームでは、エスカレーションはまったく別のものになります。圧力弁です。反射です。不確実性を上に移す方法です。その結果?Tier 2は溺れ、Tier 1は停滞し、ビジネスはその費用を静かに負担します。エリートSOCとMSSPは異なる方法で運営されています。
彼らはアナリストをより良く訓練するか、単により多くの自動化を追加するだけではありません。彼らはアラートの最初のタッチポイントで意思決定の品質を変えます。そして彼らがそれを行う最も効果的な方法の1つは、Tier 1をより良い脅威インテリジェンスで装備することです。
エスカレーションは本質的に悪いわけではありません。それは必要です。しかし過度なエスカレーションはSOC内の摩擦の症状です。
エスカレーションがうまく管理されている場合、各層は明確なハンドオフを伴う調整されたワークフローの一部として機能します。そうでない場合、遷移は崩壊し、遅延、非効率性、およびコンテキストの喪失につながります。
管理層では、メトリクスが悪化します。検出までの平均時間(MTTD)と対応までの平均時間(MTTR)の両方が悪化します。SLA違反のリスクが上昇します。MSSPの場合、クライアントの信頼が低下します。
エスカレーション・クリープは現実です。放置されると、よく機能しているSOCでも非効率に陥る可能性があります。その理由は次のとおりです。
過度なエスカレーションの根本には、単純な運用上のギャップがあります:Tier 1アナリストはデータが必要なだけではありません。彼らは決定の瞬間に即座に実行可能なコンテキストが必要です。
アラートはめったに完全なストーリーを伴って到着しません。より多くの場合、それはフラグメントです:IP、ドメイン、URL、プロセス。それ自体では、そのフラグメントは曖昧です。
したがってアナリストは見慣れた儀式を開始します:複数のツールをチェックし、ソースを相互参照し、評判と動作を組み立てようとし、最終的に、エスカレーションする価値があるかどうかを判断します。
このプロセスは遅く、一貫性がなく、精神的に負担です。そしてプレッシャーの下では、不確実性はデフォルトでエスカレーションになります。結果は予測可能です:
裸の判決を返す代わりに、ルックアップは全体像を返します:インジケータが何であるか、それが何をするか、そして分類がどの程度確実であるか。
脅威インテリジェンスルックアップはTier 1をより速くするだけではありません。それはTier 1を決定的にします:
過度なエスカレーションは単なる多くのアラートに関するものではありません。適切な時に適切なコンテキストを持つことについてです。エリートSOCはTier 1での意思決定方法を変更することでこれを解決します。
脅威インテリジェンスルックアップにより、アナリストはもはやフラグメントで操作しません。彼らは明確性で操作します。そしてその明確性:
結局のところ、利点はより良いインテリジェンスだけではありません。それはより速い理解です。