NG Solution Team
Cybersécurité

Comment les agents spécialisés peuvent-ils améliorer le triage des alertes de sécurité sur Databricks ?

Databricks traite de vastes volumes de journaux de sécurité provenant de diverses sources, telles que des outils de sécurité des terminaux et des journaux d’activité cloud, qui sont analysés pour détecter d’éventuelles menaces. Traditionnellement, les équipes de sécurité hiérarchisent les alertes en fonction de leur gravité, en se concentrant sur les alertes de niveau élevé et moyen, tandis que les alertes de faible gravité sont traitées selon les ressources disponibles. Cependant, chez Databricks, l’équipe de réponse aux incidents (IR) gère les alertes de tous niveaux de gravité, ce qui nécessite des méthodes de triage efficaces.

Pour améliorer le traitement des alertes de faible gravité, Databricks a mis en place des agents spécialisés adaptés à des sources de détection spécifiques. Ces agents, chacun axé sur une seule source, sont conçus pour fournir un triage contextuel, améliorant la précision et réduisant les faux positifs. Un agent dédié à l’intelligence des menaces soutient ces efforts en apportant des informations supplémentaires lorsque cela est nécessaire.

Le système utilise un filtrage déterministe pour supprimer les alertes bénignes et enrichit le contexte avant de faire appel à des modèles de langage (LLMs) pour le raisonnement. Cette approche structurée permet aux agents d’escalader les alertes qui nécessitent réellement une enquête plus approfondie, améliorant considérablement l’identification des menaces réelles. Les agents ont réussi à trier des milliers d’alertes, économisant du temps aux analystes et augmentant la probabilité d’identifier des vrais positifs.

Parmi les principaux résultats de cette approche, on note une réduction spectaculaire des faux positifs et l’identification de domaines suspects et de violations de politiques. L’utilisation des outils de la plateforme Databricks, tels que Spark Structured Streaming et MLflow Tracing, a été déterminante pour construire cette opération de sécurité efficace. Les développements futurs visent à renforcer ces capacités avec des outils de traitement du langage naturel afin de mieux équiper les analystes dans l’investigation des menaces.

Related posts

Comment l’action d’Apple réagira-t-elle à la faille de sécurité en Inde ?

Jean Dupont

La cyberattaque de Cal Water par des hackers iraniens était-elle limitée ?

Lucie Moreau

La violation de la cybersécurité de Tata Electronics a-t-elle impacté son activité ?

Thomas Lefèvre

This website uses cookies to improve your experience. We assume you agree, but you can opt out if you wish. Accept More Info

Privacy & Cookies Policy