論文の概要: Can SOC Operators Explain their Decisions while Triaging Alarms? A Real-World Study
- arxiv url: http://arxiv.org/abs/2604.22001v1
- Date: Thu, 23 Apr 2026 18:35:31 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-27 15:36:26.235159
- Title: Can SOC Operators Explain their Decisions while Triaging Alarms? A Real-World Study
- Title(参考訳): SOCオペレーターはアラームの試行中に判断を説明することができるか? : 実世界における研究
- Authors: Jessica Moosmann, Irdin Pekaric, Giovanni Apruzzese,
- Abstract要約: セキュリティ・オペレーション・センター(SOC)は現代企業において重要な役割を担っている。
SOCの従業員は、アラームをトリアージしながら、ある決定をした理由を正当化できますか?
SOCで発生した真のアラームを示し、そのようなアラームが真のセキュリティ問題を示すかどうかを問う。
ほとんどのアナリストは「真実と偽の」アラームを区別することができたが、正しい正当性はほとんど得られなかった。
- 参考スコア(独自算出の注目度): 2.188416707136253
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Security Operations Centers (SOCs) are pivotal in modern enterprises. Tasked to monitor complex network environments constantly under attack, SOCs can be active 24/7 and can include hundreds of operators supported by state-of-the-art technologies. Abundant research has studied the internal processes of SOCs, highlighting their pros and cons, as well as the challenges faced by SOC analysts -- such as dealing with the overwhelming number of false alarms triggered by automated security mechanisms. In this context, we wonder: given that "someone" must triage the alarms, and that such triaging must be grounded on established knowledge or evidence-based reasoning, can SOC employees justify why a certain decision was taken while triaging alarms? Answering such a research question (RQ) can better guide future efforts. We hence tackle this RQs. First, via a systematic literature review across 257 research documents, we provide evidence that such RQ received limited attention so far. Then, we partner-up with a real-world SOC and carry out a field study (n=12) with SOC employees. We show them real alarms raised in their SOC, and inquire whether such alarms are indicative of true security problems or not. Then, we ask to explain their decision. We found that while most analysts were able to separate "true from false" alarms (the decision was correct in 83% of the cases), a correct justification was hardly provided (only 39% of the provided explanations reflected the actual root cause). Ultimately, our results highlight the need for decision-support systems that help SOC analysts not only make the right call -- but also understand and articulate why it is right.
- Abstract(参考訳): セキュリティ・オペレーション・センター(SOC)は現代企業において重要な役割を担っている。
攻撃対象の複雑なネットワーク環境を常時監視するタスクにより、SOCは24/7でアクティブになり、最新技術でサポートされた数百のオペレータを含むことができる。
SOCの内部プロセスを研究し、その長所と短所、自動セキュリティメカニズムによって引き起こされる圧倒的な数の誤報に対処するなど、SOCアナリストが直面している課題を強調している。
この文脈では、誰かがアラームをトリアージしなければならないし、そのようなトリアージが確立した知識やエビデンスに基づく推論に基づいていなければならないことを考えれば、SOC従業員はアラームをトリアージしながら、ある決定が下された理由を正当化できるだろうか?
このような研究質問(RQ)に答えることによって、今後の取り組みをガイドすることができる。
したがって、私たちはこのRQに取り組みます。
第1に,257件の研究資料を対象とした体系的な文献レビューを通じて,そのようなRQがこれまでに限定的に注目されている証拠を提示する。
そして,現実世界のSOCとパートナーシップを結び,SOC従業員とのフィールドスタディ(n=12)を行う。
SOCで発生した真のアラームを示し、そのようなアラームが真のセキュリティ問題を示すかどうかを問う。
そして、その決定を説明します。
その結果、ほとんどのアナリストは「真実と偽の」警報を区別することができたが(この決定は83%で正しい)、正しい正当性は得られなかった(提供された説明のうち39%が実際の根本原因を反映していた)。
最終的には、SOCアナリストが正しい呼び出しを行うだけでなく、それが正しい理由を理解し、明確にするのに役立つ意思決定支援システムの必要性を強調します。
関連論文リスト
- Agents of Chaos [50.53354213047402]
実験室環境に展開する自律言語モデルを用いたエージェントの探索的再チームの研究を報告する。
20人のAI研究者が、良心的および敵対的な条件下でエージェントと対話した。
我々の発見は、現実的なデプロイメント設定におけるセキュリティ、プライバシ、ガバナンスに関連する脆弱性の存在を確立します。
論文 参考訳(メタデータ) (2026-02-23T16:28:48Z) - Aegis: Towards Governance, Integrity, and Security of AI Voice Agents [52.7512082818639]
音声エージェントのガバナンス,整合性,セキュリティのためのフレームワークであるAegisを提案する。
我々は,銀行コールセンタ,ITサポート,ロジスティクスにおけるケーススタディを通じて,この枠組みを評価する。
モデルファミリ間の系統的な差異を観察し,より感受性の高いオープンウェイトモデルを示した。
論文 参考訳(メタデータ) (2026-02-07T05:51:36Z) - Inferential Question Answering [67.54465021408724]
新しいタスクであるInferential QAを導入します。これは、答えをサポートするパスから答えを推測するためにモデルに挑戦するものです。
そこで本研究では,7,401問と2.4M節からなるQUITデータセットを構築した。
我々は,従来のQAタスクに有効な手法が推論QAに苦しむことを示し,レトリバーは性能が低下し,リランカーは利得が制限され,微調整は不整合の改善をもたらすことを示した。
論文 参考訳(メタデータ) (2026-02-01T14:02:43Z) - CTIArena: Benchmarking LLM Knowledge and Reasoning Across Heterogeneous Cyber Threat Intelligence [48.63397742510097]
サイバー脅威インテリジェンス(CTI)は現代のサイバーセキュリティの中心であり、進化する脅威を検出し緩和するための重要な洞察を提供する。
大規模言語モデル(LLM)の自然言語理解と推論能力により、CTIに適用することへの関心が高まっている。
異種マルチソースCTI上でLLM性能を評価するための最初のベンチマークであるCTIArenaを提案する。
論文 参考訳(メタデータ) (2025-10-13T22:10:17Z) - Large Language Models for Security Operations Centers: A Comprehensive Survey [0.0]
大きな言語モデル(LLM)は、人間のようなテキストを理解して生成する強力なツールとして登場した。
この調査は、生成的AIとより具体的にはLSMのSOCワークフローへの統合を体系的に調査する。
論文 参考訳(メタデータ) (2025-09-13T15:27:50Z) - Never Compromise to Vulnerabilities: A Comprehensive Survey on AI Governance [211.5823259429128]
本研究は,本質的セキュリティ,デリバティブ・セキュリティ,社会倫理の3つの柱を中心に構築された,技術的・社会的次元を統合した包括的枠組みを提案する。
我々は,(1)防衛が進化する脅威に対して失敗する一般化ギャップ,(2)現実世界のリスクを無視する不適切な評価プロトコル,(3)矛盾する監視につながる断片的な規制,の3つの課題を特定する。
私たちのフレームワークは、研究者、エンジニア、政策立案者に対して、堅牢でセキュアなだけでなく、倫理的に整合性があり、公的な信頼に値するAIシステムを開発するための実用的なガイダンスを提供します。
論文 参考訳(メタデータ) (2025-08-12T09:42:56Z) - Automated Alert Classification and Triage (AACT): An Intelligent System for the Prioritisation of Cybersecurity Alerts [0.0]
AACTは、サイバーセキュリティ警告に関するアナリストのトリアージ行動から学ぶ。
トリアージ決定をリアルタイムで正確に予測する。
これにより、SOCキューが減少し、アナリストは最も深刻で関連性があり、曖昧な脅威に集中できる。
論文 参考訳(メタデータ) (2025-05-14T23:02:32Z) - Unfooling Perturbation-Based Post Hoc Explainers [12.599362066650842]
最近の研究は、摂動に基づくポストホックの説明を逆さまに騙すことが実証されている。
この発見は監査人、規制当局、その他のセンチネルに悪影響を及ぼす。
本研究では,この問題を厳格に定式化し,摂動型説明器に対する敵攻撃に対する防御策を考案する。
論文 参考訳(メタデータ) (2022-05-29T21:28:12Z) - Attacking Open-domain Question Answering by Injecting Misinformation [116.25434773461465]
質問応答モデル(QA)に対する誤報のリスクについて,オープンドメインQAモデルの誤報文書に対する感度について検討した。
実験により、QAモデルは誤情報による少量の証拠汚染に対して脆弱であることが示されている。
質問応答と誤情報検出を統合した誤情報認識型QAシステムの構築の必要性について論じる。
論文 参考訳(メタデータ) (2021-10-15T01:55:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。