Databricks traite de vastes volumes de journaux de sécurité provenant de diverses sources, telles que des outils de sécurité des terminaux et des journaux d’activité cloud, qui sont analysés pour détecter d’éventuelles menaces. Traditionnellement, les équipes de sécurité hiérarchisent les alertes en fonction de leur gravité, en se concentrant sur les alertes de niveau élevé et moyen, tandis que les alertes de faible gravité sont traitées selon les ressources disponibles. Cependant, chez Databricks, l’équipe de réponse aux incidents (IR) gère les alertes de tous niveaux de gravité, ce qui nécessite des méthodes de triage efficaces.
Pour améliorer le traitement des alertes de faible gravité, Databricks a mis en place des agents spécialisés adaptés à des sources de détection spécifiques. Ces agents, chacun axé sur une seule source, sont conçus pour fournir un triage contextuel, améliorant la précision et réduisant les faux positifs. Un agent dédié à l’intelligence des menaces soutient ces efforts en apportant des informations supplémentaires lorsque cela est nécessaire.
Le système utilise un filtrage déterministe pour supprimer les alertes bénignes et enrichit le contexte avant de faire appel à des modèles de langage (LLMs) pour le raisonnement. Cette approche structurée permet aux agents d’escalader les alertes qui nécessitent réellement une enquête plus approfondie, améliorant considérablement l’identification des menaces réelles. Les agents ont réussi à trier des milliers d’alertes, économisant du temps aux analystes et augmentant la probabilité d’identifier des vrais positifs.
Parmi les principaux résultats de cette approche, on note une réduction spectaculaire des faux positifs et l’identification de domaines suspects et de violations de politiques. L’utilisation des outils de la plateforme Databricks, tels que Spark Structured Streaming et MLflow Tracing, a été déterminante pour construire cette opération de sécurité efficace. Les développements futurs visent à renforcer ces capacités avec des outils de traitement du langage naturel afin de mieux équiper les analystes dans l’investigation des menaces.

