Cara Mengintegrasikan Model Bahasa Besar (LLM) ke dalam Alat SIEM

  • Takeaway kunci:
  • Bagaimana LLM diintegrasikan ke dalam SIEM?
    Mereka mendukung kueri bahasa alami, meringkas insiden, dan membantu dalam penyelesaian masalah secara otomatis.
  • Mengapa LLM berharga dalam operasi keamanan?
    Mereka menurunkan hambatan keterampilan, mengurangi kebisingan, dan mempercepat investigasi dengan menafsirkan data kompleks secara intuitif.
  • Apa saja kasus penggunaan praktis LLM di SIEM?
    Membuat laporan insiden secara otomatis, menanggapi pertanyaan analis, dan menghubungkan konteks ancaman.
  • Apa keterbatasan LLM dalam keamanan?
    Mereka memerlukan pembatas, validasi konteks, dan penyetelan untuk menghindari halusinasi dan respons yang tidak relevan.
  • Bagaimana Stellar Cyber ​​menggunakan LLM di platformnya?
    Ini mengintegrasikan LLM untuk meningkatkan investigasi, menyediakan ringkasan peringatan, dan meningkatkan interaksi manusia-mesin di SOC.

Alat manajemen informasi dan peristiwa keamanan (SIEM) menawarkan cara yang telah teruji dan terbukti untuk memperoleh wawasan bahkan di lingkungan yang paling luas dan kompleks. Dengan menggabungkan data log dari setiap sudut jaringan Anda, SIEM menawarkan tampilan terpusat dari seluruh infrastruktur Anda. Visibilitas ini sangat penting – tetapi terkadang, menyampaikan informasi yang tepat kepada orang yang tepat dapat menjadi hambatan yang tersisa dalam pertahanan Anda. Artikel ini akan membahas kemungkinan baru yang diberikan oleh model bahasa besar (LLM) dalam keamanan siber, khususnya mengenai alat SIEM.

Lembar-Data-Generasi-Berikutnya-pdf.webp

SIEM Generasi Berikutnya

Stellar Cyber ​​Next-Generation SIEM, sebagai komponen penting dalam Platform Stellar Cyber ​​Open XDR...

Unduh Lembar Data
gambar-demo.webp

Rasakan Keamanan Bertenaga AI dalam Aksi!

Temukan AI canggih Stellar Cyber ​​untuk deteksi dan respons ancaman instan. Jadwalkan demo Anda hari ini!

Jadwalkan Demo

Penyerang Sudah Menggunakan LLM Terhadap Sistem Kritis

Kita sudah membahas bagaimana GenAI mengubah serangan rekayasa sosial, tetapi LLM yang tersedia untuk umum membantu kelompok ancaman tingkat lanjut dalam berbagai cara lainnya. Laporan Sinyal Cyber merinci bagaimana kelompok seperti kelompok intelijen militer Rusia telah melakukan pengintaian dengan GenAI.

Salah satu fokus utama kelompok ancaman – yang dijuluki Forest Blizzard – adalah eksplorasi teknologi satelit dan radar di Ukraina. Ini termasuk permintaan kepada ChatGPT untuk menyediakan cetak biru teknis dan penjelasan protokol komunikasi. Kelompok lain yang didukung negara telah diamati menggunakan perkakas OpenAI dengan cara yang sama: Salmon Typhoon yang didukung PKT secara aktif menggunakannya untuk mencari informasi tentang individu-individu terkenal dan pengaruh AS. Pada dasarnya, LLM telah menjadi bagian dari perangkat pengumpulan intelijen para pelaku ancaman. Mereka selanjutnya menggunakan LLM untuk meningkatkan teknik penulisan skrip seperti manipulasi berkas.

LLM dalam SIEM: Bagaimana Model Bahasa Besar Diterapkan

Microsoft telah mulai bereksperimen dengan menanamkan GenAI ke dalam solusi SIEM yang sudah ada: sebagai hasilnya, mereka melihat analis melakukan tugas 26% lebih cepat dalam uji coba terkontrol acak. Untuk mengetahui caranya, lihat empat aplikasi LLM berikut dalam alat SIEM. 

1. Analisis phishing

Sebagai alat keamanan yang mendukung keamanan terpadu, SIEM dapat membantu menguatkan indikator phishing saat penyerang menggunakannya terhadap pengguna akhir. Indikator percobaan serangan phishing seperti dugaan kebocoran data dan komunikasi dengan host yang diketahui bermusuhan dapat diketahui sebelum serangan benar-benar dilaksanakan.

Namun – serangan phishing hampir secara eksklusif bergantung pada pesan yang tepat yang menjangkau pengguna yang tepat pada waktu yang tepat. Sebagai model linguistik, LLM sangat cocok untuk menganalisis maksud pesan; ditambah dengan pemeriksaan dan keseimbangan proaktif yang menilai validitas file atau URL yang dilampirkan, pencegahan phishing adalah salah satu mekanisme keamanan yang sangat diuntungkan dari popularitas LLM yang terus berlanjut. Bahkan edukasi karyawan dapat mengharapkan peningkatan berkat LLM ini. Dengan membantu tim keamanan membuat email, pesan suara, dan pesan SMS yang lebih realistis dan adaptif dalam serangan tiruan, karyawan Anda dapat mendeteksi yang asli tepat pada waktunya. Pendekatan ganda deteksi dan edukasi ini secara signifikan mengurangi risiko serangan phishing lolos.

2. Analisis Insiden Cepat

Insiden keamanan siber dapat terjadi kapan saja, sehingga sangat penting bagi analis keamanan untuk merespons dengan cepat guna menahan dan mengurangi dampaknya. Meskipun penyerang sudah menggunakan LLM untuk memahami dan mengidentifikasi potensi kerentanan dalam perangkat lunak dan sistem, pendekatan yang sama dapat bekerja dua arah.

Pada saat-saat ketika respons cepat dibutuhkan, tinjauan cepat dapat memberi analis yang siap sedia kemampuan untuk menyusun teka-teki yang lebih luas dengan cepat. LLM ini tidak hanya membantu dalam pendeteksian anomali tetapi juga memandu tim keamanan dalam menyelidiki anomali ini. Lebih jauh, mereka dapat mengotomatiskan respons terhadap insiden tertentu, seperti pengaturan ulang kata sandi atau mengisolasi titik akhir yang disusupi, sehingga menyederhanakan proses respons insiden.

3. Pengenalan Alat SIEM

Pentingnya waktu analis berarti bahwa – saat menggunakan dan mendapatkan pengalaman dengan alat SIEM baru – postur keamanan organisasi memerlukan perhatian dan kewaspadaan ekstra. Jika seorang analis belum merasa nyaman menggunakan alat dengan kemampuan terbaiknya, masih ada peningkatan postur yang belum terealisasi yang masih perlu dilakukan.

Meskipun memungkinkan untuk menunggu dan membiarkan analis Anda memahami seluk-beluk suatu alat secara alami, itu tentu saja bukan cara yang paling efisien – sebaliknya, menarik mereka keluar dari tugas sehari-hari untuk pelatihan alat yang panjang juga tidak efisien. Menemukan titik tengah yang sempurna, fungsi LLM yang mudah diakses dapat dibangun ke dalam alat SIEM baru, yang dapat menyarankan cara alternatif yang lebih cepat untuk navigasi, integrasi, dan penggunaan, membantu menyamakan kesenjangan keterampilan saat analis benar-benar membutuhkannya.

4. Perencanaan Respon Insiden 

Rencana Tanggap Insiden (IRP) menguraikan langkah-langkah yang harus diambil organisasi untuk memulihkan diri dari berbagai kegagalan, seperti serangan malware. Rencana ini sering kali mengandalkan Prosedur Operasi Standar (SOP) untuk memandu tindakan tertentu, seperti mengamankan akun atau mengisolasi peralatan jaringan. Namun, banyak perusahaan tidak memiliki SOP terkini atau bahkan tidak memilikinya sama sekali, sehingga sangat bergantung pada staf untuk mengelola insiden yang menimbulkan tekanan tinggi.

LLM dapat memainkan peran penting dalam menyusun IRP awal, menyarankan praktik terbaik, dan mengidentifikasi kesenjangan dokumentasi. Mereka juga dapat mendukung dan mendorong keterlibatan pemangku kepentingan dengan mengubah informasi keamanan dan kepatuhan yang kompleks menjadi ringkasan yang relevan dan mudah dipahami. Hal ini meningkatkan pengambilan keputusan dan membantu staf menentukan prioritas di saat krisis.

Dengan mengintegrasikan LLM ke dalam peralatan SIEM, organisasi dapat meningkatkan postur keamanan siber mereka, menyederhanakan operasi, dan meningkatkan kemampuan respons insiden, memastikan mereka lebih siap menghadapi ancaman yang terus berkembang.

Pertimbangan Kepatuhan

Sementara GenAI menawarkan sejumlah manfaat potensial, statusnya sebagai yang mutakhir berarti ada dua pertimbangan yang perlu diperhatikan.

Manajemen data

Saat mengintegrasikan AI ke dalam perusahaan Anda, penting untuk memastikan bahwa vendor yang dipilih menawarkan fitur bawaan yang membatasi akses LLM hanya untuk karyawan dan tim tertentu. Melibatkan pemangku kepentingan risiko siber di seluruh organisasi akan membantu Anda menentukan dan menyelaraskan kontrol akses yang diperlukan oleh setiap kasus penggunaan. Pertimbangkan untuk meminta tagihan perangkat lunak kepada penyedia SIEM Anda, dan jelaskan bagaimana penyedia alat pihak ketiga mengelola dan menyimpan data pelatihan dan percakapan.

Manajemen Log

Manajemen log melibatkan pengumpulan, penyimpanan, dan analisis file log yang dihasilkan komputer untuk memantau dan meninjau aktivitas: ini adalah dasar bagaimana alat SIEM menganalisis dan melindungi sistem di organisasi Anda. Misalnya, arahan pemerintah seperti M-31-21 mengamanatkan bahwa log ini perlu disimpan minimal selama satu tahun. Platform LLM berbasis cloud sudah memungkinkan pengambilan data yang efisien seputar permintaan dan identitas pengguna; dan sebagai Arsitektur SIEM sudah mulai matang menuju manajemen log yang efisien, bahkan LLM yang beban lognya relatif berat pun memberikan manfaat bagi keamanan berkat analisis log otomatis alat SIEM.

Raih Potensi SIEM Generasi Berikutnya Anda dengan Stellar Cyber

Beralih ke SIEM yang didukung ML seharusnya tidak memerlukan perombakan total dari peralatan keamanan Anda yang lebih luas. Sebaliknya, pilihlah alat yang memberikan SIEM generasi berikutnya dan terintegrasi dengan seluruh daftar perangkat, jaringan, dan solusi keamanan yang Anda miliki. SIEM Generasi Berikutnya dari Stellar Cyber menawarkan solusi terpadu berbasis AI yang menyederhanakan dan memperkuat. 

Kedengarannya terlalu bagus untuk
menjadi kenyataan?
Lihat sendiri!

Minta Demo
Gulir ke Atas
Mendaftar Untuk Nawala