来源：https://www.secbi.com/wp-content/uploads/2018/02/SecBI-Brochure-Final-Web.pdf

在规模和性质不断变化的数十亿次安全事件中艰难前行。安全运营中心(SOC)人员的任务是在满足他们的SLA时发现事故，这是一项艰巨的任务，因为他们的时间和资源有限。SOC第1层和第2层的分析师面临大量的假阳性。第3层的分析人员和猎人没有足够的工具和大量的数据来在短时间内成功地执行威胁搜索。SOC管理人员也很难在非sla导向的操作中保持他们的sla，比如打猎。

此外，由于缺乏全面的检测工具，往往会导致整个事件的缺失或发现事件的全部范围的缺失。这导致了部分补救，导致恶意活动的长时间停留时间。

一、在整个攻击范围内检测到什么?

对事件的完整叙述，从可能的感染到完整的恶意事件，包括:

（1）所有受感染和受影响的用户和终端

（2）所有恶意域名和主机

自主调查™技术（Autonomous Investigation™ technology）是基于无监督和监督机器学习来分析网络流量检测复杂而隐秘的威胁。它立即揭示攻击的全部范围，加速探测和威胁搜寻，优化响应和缓解。SOC分析人员将提供完整的攻击描述，使他们能够看到所有受影响的用户和设备，以及涉及同一攻击的感染点。完整的叙述为分析人员提供了可操作的信息，例如阻止恶意主机。

二、网络流量分析技术的破坏性玩家

SecBI的独立调查过程识别出了一个带有相关证据的恶意集簇，包括完整的叙述和事件报告，以保证更快更准确的检测，大大减少假阳性。与传统的包捕获技术不同，SecBI的解决方案利用网络流量，而不需要部署额外的设备或代理来实现成本效益。结果是快速部署和配置，不像包捕获技术的长部署过程需要额外的硬件、特定的集成点和持续的维护来实现结果。SecBI的解决方案消除了安装和安装上的开销，以及随后的维护，同时提供了更深入的潜在网络攻击的洞察。

三、探测未知事物的能力

SecBI的技术可以检测和聚集所有内部(如用户、设备)和外部(如域、ip、C&C服务器、下降点)的实体，这些实体涉及到一个受损害的网络中的通信。识别一个恶意集群，而不是一个单独的异常或零星的警报，确保更快和准确的检测，包括大量减少假阳性。SecBI将突发事件的警报列表转换为简单的分类、调查和缓解的优先列表。该解决方案通过将不同的警报、事件和日志合并到正在进行的攻击的全面图中来创建对网络事件的统一视图。这消除了噪音，并专注于网络调查所需的有价值的信息。其结果是自动事件调查，大大缩短了网络安全团队的响应时间，提高了整体保护水平，降低了费用。

四、用例:事件响应

SecBI的自动调查技术使分析人员能够更有效地对事件进行排序和调查。SecBI利用网络流量和安全数据，结合威胁情报，提供无与伦比的可见性。SecBI解决方案帮助所有经验级别的分析人员在任何事件调查和响应场景中更有效地实现目标。它支持分析人员将警报放在正确的上下文中，调查相关上下文中的高优先级警报，并将风险降到最低。

五、用例:自动威胁搜索

SecBI的自动调查技术使分析人员能够更有效地搜寻威胁，并深入了解他们所处的环境。SecBI的分析将无监督、有监督和自适应机器学习与统计技术结合起来，构建全面的行为概要。分析与高保真、分层的取证相结合，从丰富的元数据到支持用户或事件调查到原始数据，使安全分析师能够测试假设。基于大数据的结构使得SecBI能够容易且经济地缩放，从而将搜索窗口扩展到数月和数年。

六、用例:用于托管安全服务提供者(mssp)

通过利用SecBI的技术，mssp可以提供高级的威胁检测、漏洞响应、缺口分析和增强其威胁搜索能力，所有这些都可以通过扩展的服务组合增加收入。

七、SOC团队:帮助正在路上!

SecBI让SOC团队从繁琐的调查任务中获取零星的警报，以收集恶意活动的证据。我们的全范围检测使分析人员能够以更快的响应速度和可忽略的误报率全面评估事件信息，并显著减少驻留时间。SecBI解决方案很容易且立即部署，不需要任何其他设备或代理。部署可以在本地进行，也可以在云中进行。您的SOC立即被放大，并对网络基础设施进行零更改。

八、SecBI是自动网络威胁检测和网络流量分析领域的一个颠覆性角色。

公司的自主调查™技术使用非监督机器学习来发现完整的网络攻击的范围,包括所有受影响的实体和恶意活动。SecBI检测到其他系统遗漏的高级威胁，创建了一个全面的事件故事情节，并支持快速和准确的缓解。SecBI的技术目前被世界各地的金融机构、电信、零售商和制造企业使用。

相关功能：

（1）SOC运维

SecBI使安全分析人员能够停止使用冗长的调查任务来追踪零星的警报，找到取证证据或其他活动来充分发现和理解事件，并加快事件响应、调查过程和减少驻留时间。SecBI解决方案很容易并且立即部署到组织中，不需要任何其他设备或代理。这种轻松的部署可以立即产生结果，并且不需要对网络基础设施和工作流进行任何更改。

（2）事件响应

SecBI的自动调查技术使分析人员能够更有效地对事件进行排序和调查。SecBI利用网络流量和安全数据，结合威胁情报，提供无与伦比的可见性。SecBI解决方案帮助所有经验级别的分析人员在任何事件调查和响应场景中更有效地实现目标。具体地说，这意味着它支持分析人员在警报上放置正确的上下文，研究相关上下文中的高优先级警报，从而最小化对其组织的风险。

（3）取证分析

事件取证(事后分析)的过程对于理解事件中发生的事情至关重要。无论是出于监管或法律目的收集取证信息，还是出于对事件范围和影响的内部理解，在一个良好的取证过程中有两个关键参数:时间和全面性。使用SecBI简单而快速地部署一个虚拟软件设备，只需一个小时就可以在任何环境中启动取证过程，并获得事件的全部范围。SecBI的机器学习分析和聚集了所有相关的取证证据，包括被感染的设备，他们的用户，恶意的C&C服务器，感染点，以及他们交流的点。手动搜索取证证据、比较多个设备活动、编写复杂的查询以获得全部信息，这些都是低效和无效的。对于强有力的取证，允许SecBI检测、集群、总结和呈现您的数据中的所有相关证据。

（4）管理安全服务提供商

通过利用SecBI的技术，mssp可以扩展他们的服务组合，提供高级的威胁检测和增强他们的威胁搜索能力，所有这些都通过扩展的服务组合增加了收入。

当你阅读(或听到)诸如“检测系统的时间越长，它们就越有效”之类的语句时，你经常会引用来自威胁检测公司的某个人的话，该公司依赖于警报和异常。这可能是一个网络专业人士，也使用机器学习，然而只有监督机器学习。为什么这么说呢?因为他们指的是创建一个基线，并对算法进行长时间的训练，根据网络的外观和运行方式来“预测”异常。

“基线”一词是关键的让步，因为基线与我们今天面临的网络安全范式相矛盾。更糟糕的是，在威胁检测的方法中使用基线并不能解决保持领先于成熟黑客的整体挑战。更好的办法是“假定妥协”，而不是把“妥协”这个词当作世界末日，因为它已经成为我们的日常现实。

在拥有成千上万用户的组织中，有些可能会感染不同类型的恶意软件/广告软件，有些可能会使用加密挖掘(不管愿意与否)。当您基线化时，您的训练模型包括这些和所有当前的行为，甚至在它们实际上有名称之前(密码劫持是在它有名称之前的一种行为方式)，因此您实际上可能会错过重要的发现。

相比之下，基于集群的无监督机器学习方法既不设置也不与已经过时的基线相关。集群分析方法允许设置阈值和分析参数来分组不寻常的相关行为，从而导致检测在使用基线时通常仍未发现的攻击。

因此，SecBI网络专家可能会说，“黑客已经找到了绕过你的检测系统的方法，但现在你有了检测恶意活动的最佳方法，而且在任何严重损害发生之前，要迅速地检测到恶意活动。”