Blumira lance Kindling, un moteur d'investigation SIEM intelligent

Introduction

Blumira, une startup de plateforme de sécurité, a lancé le pilote de Kindling, un moteur d'investigation de sécurité intelligente qui peut réduire le volume d'alertes pour les équipes de sécurité de 30 à 50 fois.

Contexte Technique

Kindling utilise une analyse en deux étapes pour évaluer les résultats entrants avant de décider s'ils doivent être affichés comme un cas. Le moteur tire parti de huit ans de données de détection, d'un an de rétention de journaux à fidélité complète et de comparaisons de cohorte avec d'autres clients Blumira pour évaluer chaque résultat.

La gravité, la ligne de base environnementale et la manière dont des organisations similaires ont résolu le même résultat alimentent un score pondéré. Les cas qui dépassent le seuil arrivent avec une chronologie des résultats liés, une vue graphique des identités et des actifs affectés et un chemin de remédiation.

Analyse et Implications

Blumira affirme que Kindling a été validé contre plus de 2 000 incidents réels résolus par ses équipes de support et a enregistré un taux d'exactitude de triage automatique de 98,5 %. Le résultat est attribué à une investigation déterministe jumelée à un modèle de consensus d'intelligence artificielle à trois juges.

La couverture offerte par Kindling s'étend aux données cloud, réseau, point de terminaison et identité déjà intégrées à la plateforme Blumira. L'entreprise soutient que la détection à une seule couche permet aux attaquants d'établir une prise avant que les défenseurs puissent réagir et que la corrélation des résultats à toutes les quatre couches permet à Kindling de signaler les activités malveillantes plus tôt dans une chaîne d'attaque.

Perspective

Le lancement de Kindling prolonge une poussée dans les travaux d'investigation assistés par l'IA que Blumira a commencée en octobre, avec le lancement de SOC Auto-Focus, un outil conçu pour fournir aux administrateurs sous-ressourcés un contexte en langage clair sur les résultats et des étapes de remédiation guidées.

Kindling va plus loin dans la pile en décidant quels résultats justifient une intervention humaine. Un tableau de bord MSP distinct est également proposé dans le cadre du lancement du pilote, offrant aux fournisseurs une visibilité descendante sur le statut des cas pour chaque locataire client, des benchmarks pour chaque environnement par rapport à des organisations similaires et des rapports de chronologie d'incident et des estimations d'économies de coûts que les MSP peuvent présenter aux clients.