Enhancing Security Operations with Automated Data Enrichment
Nieminen, Asseri (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024111528322
https://urn.fi/URN:NBN:fi:amk-2024111528322
Tiivistelmä
Tämän työn tavoitteena on parantaa tietoturvavalvomon prosessien tehokkuutta kehittämällä malli, joka tunnistaa hälytysten validointiprosessissa tarvittavat. Keskeinen tavoite on selvittää, millaista tietoa tulisi automaattisesti rikastaa, jotta Tier 1 -analyytikot voisivat validoida hälytykset tehokkaammin ja tarkemmin.
Tutkimus toteutettiin toimintatutkimuksena, jossa mallia kehitettiin ja validoitiin iteratiivisesti luomalla hypoteeseja ja testaamalla niitä käytännössä. Lisäksi keskeisiä menetelmiä olivat kirjallisuuskatsaus ja analyytikoille suunnattu kyselytutkimus, jolla arvioitiin mallin toimivuutta ja tehokkuutta.
Tulokset osoittivat, että tämänkaltainen automaattinen rikastaminen todennäköisesti vähentäisi merkittävästi manuaalista työtä, säästäisi aikaa Tier 1 -tutkinnoissa sekä lisäisi analyytikoiden työn mielekkyyttä. This work aims to improve the efficiency of Security Operations Center (SOC) processes by creating a model that identifies the specific data needed during the alert validation process. The key objective is to determine what types of data should be automatically enriched to help Tier 1 analysts validate alerts more efficiently and accurately.
The research was conducted as action research, where the model was developed and validated iteratively by creating hypotheses and testing them in practice. Key methods included a literature review and a survey targeted at analysts to assess the functionality and efficiency of the created model.
The results indicated that this type of automatic enrichment would likely significantly reduce manual work,
save time in Tier 1 investigations, and enhance the meaningfulness of the analysts' work.
Tutkimus toteutettiin toimintatutkimuksena, jossa mallia kehitettiin ja validoitiin iteratiivisesti luomalla hypoteeseja ja testaamalla niitä käytännössä. Lisäksi keskeisiä menetelmiä olivat kirjallisuuskatsaus ja analyytikoille suunnattu kyselytutkimus, jolla arvioitiin mallin toimivuutta ja tehokkuutta.
Tulokset osoittivat, että tämänkaltainen automaattinen rikastaminen todennäköisesti vähentäisi merkittävästi manuaalista työtä, säästäisi aikaa Tier 1 -tutkinnoissa sekä lisäisi analyytikoiden työn mielekkyyttä.
The research was conducted as action research, where the model was developed and validated iteratively by creating hypotheses and testing them in practice. Key methods included a literature review and a survey targeted at analysts to assess the functionality and efficiency of the created model.
The results indicated that this type of automatic enrichment would likely significantly reduce manual work,
save time in Tier 1 investigations, and enhance the meaningfulness of the analysts' work.