Comment intégrer des modèles de langage étendus (LLM) dans les outils SIEM
- Principaux plats à emporter:
-
Comment les LLM sont-ils intégrés au SIEM ?
Ils prennent en charge les requêtes en langage naturel, résument les incidents et aident au triage automatisé. -
Pourquoi les LLM sont-ils utiles dans les opérations de sécurité ?
Ils abaissent la barrière des compétences, réduisent le bruit et accélèrent les enquêtes en interprétant intuitivement des données complexes. -
Quels sont les cas d’utilisation pratiques des LLM dans le SIEM ?
Génération automatique de rapports d'incident, réponse aux questions des analystes et corrélation du contexte des menaces. -
Quelles sont les limites des LLM en sécurité ?
Ils nécessitent des garde-fous, une validation du contexte et un réglage pour éviter les hallucinations et les réponses non pertinentes. -
Comment Stellar Cyber utilise-t-il les LLM dans sa plateforme ?
Il intègre des LLM pour améliorer les enquêtes, fournir des résumés d'alertes et améliorer l'interaction homme-machine dans le SOC.
Les outils de gestion des informations et des événements de sécurité (SIEM) offrent une méthode éprouvée pour obtenir une visibilité complète, même dans les environnements les plus étendus et complexes. En agrégeant les données de log de chaque recoin de votre réseau, les SIEM offrent une vue centralisée de l'ensemble de votre infrastructure. Cette visibilité est cruciale, mais parfois, transmettre la bonne information à la bonne personne peut constituer un obstacle à vos défenses. Cet article explore les nouvelles possibilités offertes par les modèles de langage étendus (LLM) en cybersécurité, notamment en ce qui concerne les outils SIEM.
SIEM nouvelle génération
Stellar Cyber Next-Generation SIEM, en tant que composant essentiel de la plateforme Stellar Cyber Open XDR...
Découvrez la sécurité basée sur l'IA en action !
Découvrez l'IA de pointe de Stellar Cyber pour une détection et une réponse instantanées aux menaces. Planifiez votre démo dès aujourd'hui !
Les attaquants utilisent déjà des LLM contre les systèmes critiques
Nous avons déjà expliqué comment GenAI est transformer l'attaque d'ingénierie sociale, mais les LLM accessibles au public aident les groupes de menaces avancées de multiples autres manières. Le plus récent de Microsoft Rapport sur les cyber-signaux détaille comment des groupes tels que la cohorte du renseignement militaire russe ont effectué des reconnaissances avec GenAI.
L’un des principaux objectifs du groupe menaçant – surnommé Forest Blizzard – est l’exploration des technologies satellitaires et radar en Ukraine. Cela comprenait des demandes adressées à ChatGPT pour fournir des plans techniques et des explications sur les protocoles de communication. Il a été observé que d'autres groupes soutenus par des pays utilisent les outils d'OpenAI de la même manière : Salmon Typhoon, soutenu par le PCC, l'utilise activement pour obtenir des informations sur des individus de haut niveau et sur l'influence américaine. Essentiellement, les LLM font déjà partie des boîtes à outils de collecte de renseignements des acteurs de la menace. Ils utilisent en outre les LLM pour améliorer les techniques de script telles que la manipulation de fichiers.
LLM en SIEM : comment les grands modèles de langage sont appliqués
1. Analyse du phishing
En tant qu'outil de sécurité prenant en charge la sécurité intégrée, le SIEM peut aider à corroborer les indicateurs de phishing lorsque des attaquants l'utilisent contre les utilisateurs finaux. Les indicateurs de tentatives d'attaques de phishing, tels que les fuites de données suspectées et les communications avec des hôtes hostiles connus, peuvent être détectés avant qu'une attaque ne soit pleinement exécutée.
Cependant, les attaques de phishing reposent presque exclusivement sur le bon message qui parvient au bon utilisateur au bon moment. En tant que modèles linguistiques, les LLM sont parfaitement adaptés à l’analyse de l’intention d’un message ; Associée aux contrôles et contrepoids proactifs qui évaluent la validité des fichiers joints ou des URL, la prévention du phishing est un mécanisme de sécurité qui devrait grandement bénéficier de la popularité continue des LLM. Même la formation des employés peut s'attendre à des améliorations grâce à ces LLM. En aidant les équipes de sécurité à créer des e-mails, des messages vocaux et des SMS plus réalistes et adaptatifs lors d’attaques simulées, vos employés sont en mesure de détecter les véritables attaques à temps. Cette double approche de détection et d’éducation réduit considérablement le risque d’attaques de phishing.
2. Analyse rapide des incidents
Les incidents de cybersécurité peuvent survenir à tout moment, il est donc crucial pour les analystes de sécurité de réagir rapidement pour contenir et atténuer leurs effets. Et même si les attaquants utilisent déjà les LLM pour comprendre et identifier les vulnérabilités potentielles des logiciels et des systèmes, la même approche peut fonctionner dans les deux sens.
Dans les moments où une réponse rapide est requise, une vue d’ensemble rapide peut donner aux analystes de garde la possibilité de reconstituer rapidement le puzzle plus vaste. Ces LLM aident non seulement à détecter les anomalies, mais guident également les équipes de sécurité dans l'enquête sur ces anomalies. En outre, ils peuvent automatiser les réponses à des incidents spécifiques, comme la réinitialisation des mots de passe ou l'isolement des points de terminaison compromis, rationalisant ainsi le processus de réponse aux incidents.
3. Intégration de l'outil SIEM
Le temps critique des analystes signifie que – lors de l'intégration et de l'acquisition d'expérience avec un nouvel outil SIEM – la posture de sécurité de l'organisation nécessite une attention et une prudence supplémentaires. Si un analyste n’est pas encore à l’aise avec l’utilisation optimale d’un outil, il reste encore des gains de posture non réalisés à réaliser.
S'il est possible d'attendre et de laisser vos analystes comprendre les subtilités d'un outil, ce n'est certainement pas le moyen le plus efficace. À l'inverse, les retirer des tâches quotidiennes pour une longue formation sur les outils est tout aussi inefficace. Atteignant le juste milieu, une fonction LLM accessible peut être intégrée à un nouvel outil SIEM, qui peut suggérer des moyens alternatifs et plus rapides de navigation, d'intégration et d'utilisation, aidant ainsi à combler le déficit de compétences au fur et à mesure que les analystes en ont vraiment besoin.
4. Planification de la réponse aux incidents
Les plans de réponse aux incidents (IRP) décrivent les étapes nécessaires qu'une organisation doit suivre pour se remettre de diverses pannes, telles que les infestations de logiciels malveillants. Ces plans s'appuient souvent sur des procédures opérationnelles standard (SOP) pour guider des actions spécifiques, comme sécuriser un compte ou isoler un équipement réseau. Cependant, de nombreuses entreprises soit ne disposent pas de SOP à jour, soit n’en disposent pas du tout, ce qui fait qu’elles comptent franchement naïvement sur le personnel pour gérer les incidents très stressants.
Les LLM peuvent jouer un rôle essentiel dans la rédaction des IRP initiaux, en suggérant les meilleures pratiques et en identifiant les lacunes en matière de documentation. Ils peuvent également soutenir et favoriser l’engagement des parties prenantes en transformant des informations complexes sur la sécurité et la conformité en résumés pertinents et accessibles. Cela améliore la prise de décision et aide le personnel à établir des priorités en temps de crise.
En intégrant les LLM dans les outils SIEM, les organisations peuvent améliorer leur posture de cybersécurité, rationaliser leurs opérations et améliorer leurs capacités de réponse aux incidents, garantissant ainsi qu'elles sont mieux préparées à faire face aux menaces évolutives.
Considérations de conformité
Gestion des données
Log Management
La gestion des journaux implique la collecte, le stockage et l'analyse des fichiers journaux générés par ordinateur pour surveiller et examiner l'activité : c'est le fondement de la façon dont les outils SIEM analysent et protègent les systèmes de votre organisation. Par exemple, les directives gouvernementales telles que M-31-21 exigent que ces journaux soient stockés pendant au moins un an. Les plates-formes Cloud LLM permettent déjà une capture rationalisée des données concernant les demandes et l'identité des utilisateurs ; et comme L'architecture SIEM évolue déjà vers une gestion efficace des journaux, même les LLM relativement lourds en journaux représentent un avantage en termes de sécurité grâce à l'analyse automatisée des journaux des outils SIEM.
Atteignez votre potentiel SIEM de nouvelle génération avec Stellar Cyber
Passer au SIEM basé sur le ML ne devrait pas nécessiter une refonte totale de vos outils de sécurité au sens large. Au lieu de cela, choisissez un outil qui offre à la fois un SIEM de nouvelle génération et s'intègre à l'ensemble de vos appareils, réseaux et solutions de sécurité disponibles. Le SIEM nouvelle génération de Stellar Cyber offre une solution unifiée basée sur l'IA qui simplifie et dynamise.
