Читать книгу Inteligencia artificial y defensa. Nuevos horizontes - José Luis Domínguez Alvarez - Страница 43

Con todos los datos de sus diferentes fuentes de información, se podría realizar de manera sencilla un patrón de análisis a través de los siguientes pasos:

– Se utiliza un algoritmo no supervisado para clasificar los datos de las sesiones, en las alertas en contexto y los usuarios activos.

– Se identifican los representantes del riesgo, dentro del proceso a mejorar. En este punto se realizan agrupaciones de alertas y se normalizan los usuarios tipo.

– Se calcula las distancias al representante del riesgo con respecto a cada usuario y cada alerta, de manera que se dispone de una puntuación o métrica del riesgo.

– Se establece un umbral del riesgo para un determinado ámbito temporal.

Mediante los anteriores pasos, todo aquello que supere dicho umbral representa un caso a analizar por parte de un analista. Esto no quiere decir que ha habido una violación en la seguridad, sino que ha sucedido algo no habitual y que debe prestársele especial atención. Esto permite preprocesar miles de logs y eventos en un momento dado, filtrando “el grano de la paja” al analista experto. También sería viable la ejecución de acciones predeterminadas si se repiten patrones maliciosos, haciendo que el proceso refactorizado con IA sea prácticamente automático end-to-end en determinados casos. He aquí la Defensa Activa.