利用机器学习推动 vSOC 检测

我们讨论了汽车 API 如何成为智能移动生态系统的主要攻击媒介之一。与此相关的风险是显而易见的。如果威胁行为者能够大规模远程利用 API，他们将有能力损害品牌或提出赎金请求。当然，Splunk 平台的强大之处在于能够从任何数据大规模创建任何用例。在本博客中，我们将深入研究 API 安全用例，使用机器学习检测 API 异常，并将这些检测与Splunk Enterprise Security关联起来，以检测正在行动的威胁行为者。

开发基础搜索

第一步是开发用于训练 ML 模型的基础搜索。您可以在此处看到一个示例事件，其中显示了远程解锁车辆的 API 请求。

img

正常情况下，车主每天会使用智能手机应用程序多次发送此类请求。考虑到这一点，我们的目标是训练我们的 ML 模型了解正常行为。为此，我们必须考虑以下几个因素：

• 我们测量行为的时间跨度是多少？

• 我们应该针对多少历史进行训练？

• 我们应该根据什么实体（用户、车辆、 IP 地址）来衡量？

• 我们应该考虑基于实体的分析还是同群分析？

在以下示例中，我们测量每天的用户