Kurumsal ağlarda endpoint telemetrisi her zamankinden daha zengin, ancak bu zenginlik çoğu SOC için operasyonel gürültü anlamına da geliyor. Yeni nesil tespit yaklaşımı, tekil alarmları ayrı ayrı yükseltmek yerine süreç ağacı, kimlik, ağ hedefi ve zaman ilişkisini birlikte değerlendiriyor.
Bu modelde amaç alarm sayısını yapay biçimde azaltmak değil; analistin önüne bağlamı tamamlanmış, eyleme dönük olaylar çıkarmak. Özellikle living-off-the-land teknikleri ve düşük hacimli komut çalıştırma zincirlerinde korelasyon kalitesi kritik hale geliyor.
Orbitron Blog ekibi olarak bu alandaki gelişmeleri, tespit mühendisliği ekiplerinin günlük iş akışına etkisi üzerinden izlemeye devam edeceğiz.