UNITesi

The increasing digitization of processes and the widespread proliferation of connected devices have made cybersecurity a critical and indispensable factor for companies, government entities, and strategic infrastructures. In this context, Security Operations Centers (SOC) play a central role in protecting information systems, serving as continuous monitoring hubs for networks and systems with the objective of detecting, analyzing, and promptly managing cybersecurity threats. However, the enormous volume of alerts and notifications handled daily by analysts, often characterized by a high incidence of false positives, can lead to alert fatigue. This condition undermines the effectiveness of the triage process, hindering the correct assessment of whether to open tickets. Prolonged exposure to such overload reduces analysts’ attention and response speed, slows the identification of real threats, and, in the long term, can lead to burnout, with serious repercussions on productivity and the operational continuity of monitored infrastructures. This thesis proposes the integration of a Machine Learning-based system capable of analyzing alert characteristics and, based on labeled historical data provided by a reference SOC, predicting the need to open a ticket. The aim is to reduce alert fatigue among analysts and support their operations during the triage phase. To complement the system, eXplainable AI (XAI) methods were adopted, aiming to improve the understanding of the model’s predictions by highlighting the alert features considered most relevant in the decision-making process. The results obtained demonstrate the feasibility of the proposed system to support ticket-opening decisions in a SOC context. These results stem from an experimental campaign conducted on real data provided by an operational security center and from the evaluation of various scenarios designed to test the system’s reliability and effectiveness. Additionally, the use of XAI techniques provides valuable interpretative support, allowing analysts to better understand the reasoning behind the model’s predictions.

La crescente digitalizzazione dei processi e la diffusione capillare di dispositivi connessi hanno reso la sicurezza informatica un fattore critico e imprescindibile per aziende, enti governativi e infrastrutture strategiche. In questo contesto, i Security Operations Center (SOC) svolgono un ruolo centrale nella protezione dei sistemi informativi, fungendo da centri di monitoraggio continuo delle reti e dei sistemi con l'obiettivo di rilevare, analizzare e gestire tempestivamente le minacce informatiche. Tuttavia, l’enorme volume di allarmi e notifiche trattati quotidianamente dagli analisti, spesso caratterizzati da un’elevata incidenza di falsi positivi, può generare fenomeni di alert fatigue. Questa condizione compromette l’efficacia del processo di triage, ostacolando la corretta valutazione sull’apertura dei ticket. L’esposizione prolungata a tale sovraccarico riduce l’attenzione e la rapidità di risposta degli analisti, rallenta l’identificazione delle minacce reali e, nel lungo periodo, può condurre a situazioni di burnout, con gravi ripercussioni sulla produttività e sulla continuità operativa delle infrastrutture monitorate. La presente tesi propone l’integrazione di un sistema basato su Machine Learning, in grado di analizzare le caratteristiche degli allarmi e, sulla base di dati storici etichettati forniti da un SOC di riferimento, prevedere la necessità di apertura di un ticket con l’obiettivo di ridurre il fenomeno dell’alert fatigue tra gli analisti supportandone le operazioni svolte nella fase di triage. A completamento del sistema, sono stati adottati metodi di eXplainable AI (XAI), con l’obiettivo di migliorare la comprensione delle predizioni effettuate dai modelli, evidenziando le caratteristiche dell'allarme ritenute più rilevanti nel il processo decisionale. I risultati ottenuti evidenziano la fattibilità del sistema proposto per supportare la decisione sull’apertura dei ticket in un contesto SOC. Tali risultati derivano da una campagna sperimentale condotta su dati reali forniti da un centro di sicurezza operativo e dalla valutazione di diversi scenari, volti a testare l’affidabilità e l’efficacia del sistema. In aggiunta, l’uso delle tecniche XAI fornisce un valido supporto interpretativo, permettendo agli analisti di comprendere meglio le motivazioni alla base delle decisioni del modello su una certa predizione.

ML-SOC: Contrastare l'Alert Fatigue nei Security Operations Center tramite algoritmi di Machine Learning

CAICO, FRANCESCA
2024/2025

Abstract

The increasing digitization of processes and the widespread proliferation of connected devices have made cybersecurity a critical and indispensable factor for companies, government entities, and strategic infrastructures. In this context, Security Operations Centers (SOC) play a central role in protecting information systems, serving as continuous monitoring hubs for networks and systems with the objective of detecting, analyzing, and promptly managing cybersecurity threats. However, the enormous volume of alerts and notifications handled daily by analysts, often characterized by a high incidence of false positives, can lead to alert fatigue. This condition undermines the effectiveness of the triage process, hindering the correct assessment of whether to open tickets. Prolonged exposure to such overload reduces analysts’ attention and response speed, slows the identification of real threats, and, in the long term, can lead to burnout, with serious repercussions on productivity and the operational continuity of monitored infrastructures. This thesis proposes the integration of a Machine Learning-based system capable of analyzing alert characteristics and, based on labeled historical data provided by a reference SOC, predicting the need to open a ticket. The aim is to reduce alert fatigue among analysts and support their operations during the triage phase. To complement the system, eXplainable AI (XAI) methods were adopted, aiming to improve the understanding of the model’s predictions by highlighting the alert features considered most relevant in the decision-making process. The results obtained demonstrate the feasibility of the proposed system to support ticket-opening decisions in a SOC context. These results stem from an experimental campaign conducted on real data provided by an operational security center and from the evaluation of various scenarios designed to test the system’s reliability and effectiveness. Additionally, the use of XAI techniques provides valuable interpretative support, allowing analysts to better understand the reasoning behind the model’s predictions.
Ingegneria informatica
2024
ML-SOC: Mitigating Alert Fatigue in Security Operations Centers through Machine Learning Algorithms
La crescente digitalizzazione dei processi e la diffusione capillare di dispositivi connessi hanno reso la sicurezza informatica un fattore critico e imprescindibile per aziende, enti governativi e infrastrutture strategiche. In questo contesto, i Security Operations Center (SOC) svolgono un ruolo centrale nella protezione dei sistemi informativi, fungendo da centri di monitoraggio continuo delle reti e dei sistemi con l'obiettivo di rilevare, analizzare e gestire tempestivamente le minacce informatiche. Tuttavia, l’enorme volume di allarmi e notifiche trattati quotidianamente dagli analisti, spesso caratterizzati da un’elevata incidenza di falsi positivi, può generare fenomeni di alert fatigue. Questa condizione compromette l’efficacia del processo di triage, ostacolando la corretta valutazione sull’apertura dei ticket. L’esposizione prolungata a tale sovraccarico riduce l’attenzione e la rapidità di risposta degli analisti, rallenta l’identificazione delle minacce reali e, nel lungo periodo, può condurre a situazioni di burnout, con gravi ripercussioni sulla produttività e sulla continuità operativa delle infrastrutture monitorate. La presente tesi propone l’integrazione di un sistema basato su Machine Learning, in grado di analizzare le caratteristiche degli allarmi e, sulla base di dati storici etichettati forniti da un SOC di riferimento, prevedere la necessità di apertura di un ticket con l’obiettivo di ridurre il fenomeno dell’alert fatigue tra gli analisti supportandone le operazioni svolte nella fase di triage. A completamento del sistema, sono stati adottati metodi di eXplainable AI (XAI), con l’obiettivo di migliorare la comprensione delle predizioni effettuate dai modelli, evidenziando le caratteristiche dell'allarme ritenute più rilevanti nel il processo decisionale. I risultati ottenuti evidenziano la fattibilità del sistema proposto per supportare la decisione sull’apertura dei ticket in un contesto SOC. Tali risultati derivano da una campagna sperimentale condotta su dati reali forniti da un centro di sicurezza operativo e dalla valutazione di diversi scenari, volti a testare l’affidabilità e l’efficacia del sistema. In aggiunta, l’uso delle tecniche XAI fornisce un valido supporto interpretativo, permettendo agli analisti di comprendere meglio le motivazioni alla base delle decisioni del modello su una certa predizione.
SOC
Alert fatigue
Ticket
ML
XAI
MARCHETTI, MIRCO
Lauree Magistrali
File in questo prodotto:
File Dimensione Formato  
francesca_caico.pdf

Accesso riservato

Dimensione 2.42 MB
Formato Adobe PDF
2.42 MB Adobe PDF

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14251/3905