Back to Blog

CrowdStrike เปิดตัวระบบ AI อัจฉริยะตรวจจับภัยคุกคามแบบอัตโนมัติ ช่วยนักวิเคราะห์ลดสัญญาณรบกวน

CrowdStrike เปิดตัวฟีเจอร์ Automated Leads ใช้ AI คะแนนความเสี่ยงแบบองค์รวม ช่วยกรองสัญญาณรบกวนและตรวจจับภัยคุกคามที่ซ่อนอยู่ก่อนกลายเป็นการโจมตีเต็มรูปแบบ

Sales
1 min read
CrowdStrike เปิดตัวระบบ AI อัจฉริยะตรวจจับภัยคุกคามแบบอัตโนมัติ ช่วยนักวิเคราะห์ลดสัญญาณรบกวน

CrowdStrike เปิดตัวฟีเจอร์ Automated Leads ซึ่งเป็นแนวทางใหม่ในการตรวจจับภัยคุกคามที่ออกแบบมาเพื่อเปิดเผยสัญญาณการโจมตีที่ซ่อนอยู่ก่อนที่มันจะกลายเป็นการละเมิดความปลอดภัยเต็มรูปแบบ โดยขับเคลื่อนด้วย CrowdStrike Signal และส่งผ่านแพลตฟอร์ม Falcon

เป้าหมายของฟีเจอร์นี้คือการก้าวข้ามข้อจำกัดของการแจ้งเตือนแบบเดิม และช่วยให้นักวิเคราะห์มีจุดเริ่มต้นที่ดีขึ้นในการตรวจจับผู้คุกคามที่ซับซ้อนที่สุด


ทำไมการเพิ่มการแจ้งเตือนไม่ใช่คำตอบ

การปรับปรุงการตรวจจับคือเป้าหมายหลักของทีมวิจัย CrowdStrike Advanced Research ซึ่งเป็นผู้พัฒนาโมเดล AI ที่ขับเคลื่อน Automated Leads เป็นเวลาหลายปีที่อุตสาหกรรมต้องเผชิญกับวงจรที่ซ้ำซาก ได้แก่ การสร้างกฎสำหรับฟีเจอร์ที่รู้จักว่าเป็นอันตราย การปรับใช้ การคัดแยกการแจ้งเตือน และการปรับลดสัญญาณรบกวนที่มีปริมาณสูง

ผลที่ตามมาคือกฎที่มีสัญญาณรบกวนสูงซึ่งอาจตรวจจับกิจกรรมที่เป็นอันตรายจริงกลับถูกระงับเนื่องจากมีปริมาณมากเกินไปสำหรับการคัดแยกด้วยมนุษย์ ทำให้กิจกรรมที่เป็นอันตรายหลุดรอดไปได้


วิธีทำงานของ Automated Leads การให้คะแนนและการเชื่อมโยง

ภาพที่ 1 แสดงการให้คะแนนเหตุการณ์

เครื่องมือ AI ที่ขับเคลื่อน Automated Leads แก้ปัญหานี้ด้วยการเปลี่ยนโฟกัสจากการแจ้งเตือนรายบุคคลมาเป็นการให้คะแนนตามเอนทิตี โดยจะกำหนดคะแนนให้กับทุกเหตุการณ์และตรวจจับสัญญาณ จากนั้นเชื่อมโยงเหตุการณ์เหล่านี้ตามเอนทิตี เช่น เอนด์พอยต์ เมื่อมีเหตุการณ์ที่ได้คะแนนสูงหลายรายการเกิดขึ้นบนโฮสต์เดียวกัน คะแนนเหล่านั้นจะถูกรวมกัน

ด้วยการระบุและกรองเฉพาะตัวอย่างที่ผิดปกติเหล่านี้ เครื่องมือสามารถเปิดเผยเบาะแสได้เร็วขึ้นในห่วงโซ่การโจมตี และเปิดเผย Automated Leads ชนิดพิเศษที่เรียกว่า zero detect leads ซึ่งเป็นกิจกรรมที่เป็นอันตรายที่ยังไม่ก่อให้เกิดการแจ้งเตือนแบบเดิมแต่ชัดเจนว่าน่าสงสัยเมื่อดูเป็นกลุ่มพฤติกรรม


การวิเคราะห์ในโลกจริง การล่า RMM

เพื่อให้เห็นภาพ ลองพิจารณาว่าเครื่องมือที่ขับเคลื่อน Automated Leads จัดการกับเครื่องมือ RMM อย่างไร ผู้คุกคามชื่นชอบเครื่องมือ RMM เพราะมันช่วยให้พวกเขาซ่อนตัวในระบบที่ถูกต้องตามกฎหมายได้ แต่สำหรับนักวิเคราะห์ การตรวจสอบการทำงานของ RMM ทุกครั้งในองค์กรขนาดใหญ่เป็นไปไม่ได้

ในการวิเคราะห์ล่าสุด เครื่องมือได้ตรวจสอบโฮสต์นับพันแห่ง โดยกิจกรรมส่วนใหญ่เป็นเครื่องมือ RMM มาตรฐานขององค์กร แต่เครื่องมือได้แฟล็กการทำงานของ MeshAgent เพียงครั้งเดียว ซึ่งเป็นเครื่องมือที่ไม่เคยเห็นมาก่อนในสภาพแวดล้อมนั้น และเชื่อมโยงกับพฤติกรรมอื่นๆ บนโฮสต์เดียวกัน เช่น การเปิด Command Prompt การสอบถามรีจิสทรี และการสำรวจเครือข่ายในพื้นที่

ภาพที่ 2 การทำงานของ RMM ในสภาพแวดล้อม

นวัตกรรมใหม่ การตรวจสอบกระบวนการที่ผิดปกติ

จากแนวคิดดังกล่าว CrowdStrike ประกาศความสามารถใหม่ที่ผสานรวมโดยตรงใน Automated Leads นั่นคือ Investigate Unusual Processes ซึ่งช่วยให้นักวิเคราะห์สามารถตรวจสอบกระบวนการที่สร้างขึ้นในช่วงเวลาที่น่าสงสัยได้อย่างรวดเร็ว โดยไม่ต้องเสียเวลากับเหตุการณ์ปกติหลายพันรายการ

ฟีเจอร์นี้ใช้เหตุการณ์ ProcessAncestryInformation หรือ PAI ซึ่งใช้การสังเกตในอดีตของเอนด์พอยต์เพื่อแฟล็กเฉพาะกระบวนการสร้างที่ผิดปกติ ซึ่งคิดเป็นเพียง 1-3% เท่านั้น โดยฟีเจอร์นี้พร้อมใช้งานสำหรับลูกค้าทุกคนแล้วภายในแดชบอร์ด Automated Leads


Reference

CrowdStrike

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด