SOC analisti olmak için zor bir zaman.
Her gün, verilerin yarısı ve baskının iki katı ile yüksek sonuç problemlerini çözmeleri bekleniyor. Analistler bunalır – sadece tehditlerle değil, aynı zamanda yanıt vermelerine yardımcı olacak sistemler ve süreçler tarafından. Takım parçalanmıştır. İş akışları ağırdır. Bağlam beş yerde yaşar ve uyarılar asla yavaşlamaz. Hızlı tempolu, yüksek etkili bir rol olarak başlayan, birçok analist için, strateji veya büyüme için çok az yer sunan tekrarlayan bir uyarı triyajı ve veri sarsıntısı haline geldi.
Çoğu SOC takımı da yalın çalışıyor. Geçen yıl, yıllık SANS SOC araştırmamız, SOC’lerin çoğunluğunun sadece 2-10 tam zamanlı analistten oluştuğunu buldu– Anket 2017’de izlemeye başlamasından bu yana değişmeden bir dizi değişmeden. Bu arada, şirket içi altyapıdan bulut ortamlarına, uzak uç noktalara, SaaS platformlarına ve ötesine kadar değişen kapsama kapsamı patladı. Ölçekte birleşen bu, SOC ortamlarında sistemik tükenmişliğe yol açtı – kuruluşunuzun kendini savunma yeteneğini engelleyen meşru bir iş riski.
Sorunu ele almak, sadece personel sayısını artırmak meselesi değildir. Tükenmişliği bir insan problemi olarak ne kadar uzun süre tedavi edersek, SOC içinde gerçekten yanlış gidenleri ne kadar uzun süre görmezden geliriz. Eldeki zorluk, SOC çalışmasının nasıl tasarlandığı ve yürütüldüğü ve analistlerin başarı için nasıl konumlandırıldığı konusunda bir değişim gerektiriyor.
Yapay Zeka (AI) girin. Ölçekli AI uygulaması, analistleri kapıya doğru iten işin kısımlarını optimize ederek burada pratik bir yol sunar: tekrarlayan adımlar, bilişsel yük ve görünür ilerleme eksikliği. Verimsiz iş akışlarını kolaylaştırmak ve beceri gelişimini desteklemekten daha etkili takım çapında gözetim kolaylaştırmaya kadar AI, SOC’yi daha sürdürülebilir hale getirmek için daha geniş yollar açabilir.
Daha akıllı otomasyonla uyarı yorgunluğunu ve tekrarlayan yükün azaltılması
Sürekli düşük bağlam uyarıları akışı, bir SOC ekibini boşaltmanın en hızlı yollarından biridir. SANS SOC araştırmasında, kuruluşların% 38’i mevcut tüm verileri SIEM’lerine yuttuğunu bildirmiştir. Bu görünürlüğü genişletebilirken, analistleri düşük öncelikli gürültü ile doldurur. Ve güçlü korelasyon mantığı veya platformlar arası entegrasyon olmadan, tam bir resim oluşturmak analiste hala düşüyor. Ayrık sistemlerde göstergeleri kovalamaya, bağlamı manuel olarak birleştirerek ve yükseltmenin bile gerekli olup olmadığına karar veriyorlar. Verimsiz, yorucu ve sürdürülemez.
SOC ekipleri yıllardır görevleri otomatikleştiriyor, ancak bu otomasyonun çoğu, senaryo beklenenden saptığında parçalanan sert oyun kitapları ve statik Soar akışları gibi kırılgan mantığa dayanıyor. AI bunu değiştirir. AI ile çalışan otomasyon, benzersiz güçlü bir bağlamsal toplayıcı ve soruşturma asistanı olarak hareket ederek bu baskıyı hafifletebilir. Yeni Model Bağlam Protokolü (MCP) tarafından etkinleştirilenler gibi yeteneklerle eşleştirildiğinde, dil modelleri telemetri, tehdit istihbaratını, varlık meta verilerini ve kullanıcı geçmişini tek bir görünüme entegre edebilir ve analistin karşılaştığı her benzersiz duruma göre uyarlayabilir. Bu, analistlere ham olaylar yerine zenginleştirilmiş, duruma özgü özetler verir. Netlik, tahminlerin yerini alır. Yanıt kararları daha hızlı ve daha fazla güvenle – tükenmişliği doğrudan azaltan iki şey.
Buradaki anahtar, Soar’ın aksine, AI’nın uyarlanabilir otomasyona izin vermesi ve hatta bir LLM arayüzü aracılığıyla kolayca erişilebilir hale getirmesidir. AI ajanları ve MCP ve Agent2Agent Protokolü gibi yeni standartlarla, analistlerin düz dilde ne olması gerektiğini açıklayabileceği ve sistemin otomasyonu dinamik olarak oluşturabileceği, hangi görevlerin gerçekleştirilmesi gerektiğine ve bunları tamamlamanın en iyi yolunu belirleyebileceği bir gelecek var. İster verileri alır, ister sinyalleri ilişkilendiriyor isterse bir yanıtı koordine ediyor olsun, AI bağlama göre gerçek zamanlı olarak ayarlanabilir. Bu esneklik, özellikle araştırma yolları her zaman net veya doğrusal olmadığında önemlidir.
Daha akıllı geri bildirimlerle analistin güvenini oluşturur
Tükenmişlik sadece uzun saatlerden gelmekle kalmaz. Bazen durgunluktan kaynaklanır – aynı işi büyümeden veya anlamlı geri bildirim almadan yapmak. Bir analist ilerlemeyi görmezse, hayal kırıklığı hızla kök salır. Bu, AI’nın gerçek destek sunabileceği bir alandır. Analistlerin kendi çalışmalarını anında geliştirmelerine izin verir – algılama mantığının kurutulması, yanlış pozitiflerin giderilmesi ve hızlı, hedefli önerilerle daha iyi sorgular oluşturma. Bunun gibi gerçek zamanlı geri bildirimler özellikle daha yeni analistler için değerlidir, ancak deneyimli ekip üyeleri bile hakem incelemesini beklemeden yaklaşımlarını baskılama yeteneğinden yararlanmaktadır.
Bu etkileşimler, araştırmacıların kasıtlı uygulama dediği şeyi desteklemektedir: acil, eyleme geçirilebilir geri bildirimlerle eşleştirilmiş odaklanmış tekrarlama. Tutma söz konusu olduğunda bu altın ağırlığına değer. SANS SOC araştırmasına göre, “anlamlı çalışma” ve “kariyer ilerlemesi”, analist tutulmasında en iyi iki faktör olarak sıralandı – tazminat. Büyümeyi günlük iş akışına yerleştiren takımların insanlarını tutma olasılığı daha yüksektir. AI insan mentorluğunun yerini alamaz, ancak en anlamlı etkilerinden bazılarını ölçeklendirmeye yardımcı olabilir.
SOC liderlerinin takımlarını yönetmesine ve güçlendirmelerine yardımcı olun
SOC liderlerinin tükenmişliği azaltma üzerinde doğrudan bir etkisi vardır. Bununla birlikte, zaman ve görünürlük eksikliği genellikle olumlu bir etki yaratmak için en büyük engellerdir. Vaka yükü, not kalitesi, araştırma derinliği ve yanıt süreleri gibi performans verileri platformlar ve araştırmalar arasında dağılmıştır. Bunu sentezlemenin bir yolu olmadan, yöneticiler kimin mücadele ettiğini ve nedenini tahmin ediyorlar.
AI bu analizi mümkün kılar. Vaka yönetimi ve iş akışı verilerine erişim ile, modeller performans eğilimlerini yüzeyebilir: analistlerin belirli tehdit türlerini sürekli olarak iyi idare etmesi, hataların kümelenmesi veya kalite düşmeye başladığı zaman. Bu içgörü, yöneticilerin daha etkili bir şekilde koçluk yapmalarına ve sadece kullanılabilirliğe değil, yeteneğe göre iş atamasına olanak tanır. Ayrıca onlara erken müdahale etme şansı verir. Tükenmişlik kendini duyurmaz. Yavaş, genellikle gözden uzak bir şekilde inşa edilir. Ancak doğru sinyallerle-aşırı yükleme, beceri boşluklarını tespit etmek, kalitede bırakma farkı-liderler sorunlar çıkmadan önce harekete geçebilir.
Zamanla, bu tür hedeflenen destek takım kültürünü yeniden şekillendirir. Performans gelişir, tutma dengelenir ve analistlerin gördükleri, desteklendikleri ve başarılı olmak için kuruldukları rollerde kalma ve büyümesi daha olasıdır.
SANS Network Security 2025’te konuşmaya devam edelim
SoC tükenmişliği nadiren bir kerede ortaya çıkar. Öğrenmeden tekrarlama, ilerleme olmadan baskı ve etkisiz çaba ile inşa edilir. AI, SOC’deki her stres etkisini ortadan kaldırmaz, ancak sürtünmeyi en önemli olduğu yerde hafifletmeye yardımcı olabilir.
Bu konu yankılanırsa, bu Eylül’de Las Vegas’ta SANS Network Security 2025’te bana katılın. Tükenmişliği azaltmak, iş akışlarını kolaylaştırmak ve gerçek dünya ortamlarında analist büyümesini desteklemek için AI’nın nasıl uygulanacağı da dahil olmak üzere daha sağlıklı, daha etkili SOCS oluşturma konusundaki oturumlar olacağım.
SANS Network Security 2025’e (22-27 Eylül 2025) kaydolun.
Not: Bu makale sans kıdemli eğitmen John Hubbard tarafından ustaca yazılmış ve katkıda bulunmuştur. Arka planı ve kursları hakkında daha fazla bilgi edinin.
Not: Bu makale SANS Enstitüsü kıdemli eğitmeni John Hubbard tarafından yazılmış ve katkıda bulunulmuştur.