Hoe u grote taalmodellen (LLM's) kunt integreren in SIEM-tools

  • Key Takeaways:
  • Hoe worden LLM's geïntegreerd in SIEM?
    Ze ondersteunen zoekopdrachten in natuurlijke taal, vatten incidenten samen en helpen bij geautomatiseerde triage.
  • Waarom zijn LLM's waardevol bij beveiligingsoperaties?
    Ze verlagen de vaardigheidsdrempel, verminderen ruis en versnellen onderzoeken doordat ze complexe gegevens intuïtief interpreteren.
  • Wat zijn praktische toepassingsgevallen voor LLM's in SIEM?
    Automatisch incidentrapporten genereren, vragen van analisten beantwoorden en de context van bedreigingen correleren.
  • Wat zijn de beperkingen van LLM's op het gebied van beveiliging?
    Ze vereisen beperkingen, contextvalidatie en afstemming om hallucinaties en irrelevante reacties te voorkomen.
  • Hoe gebruikt Stellar Cyber ​​LLM's in haar platform?
    Het integreert LLM's om onderzoeken te verbeteren, waarschuwingssamenvattingen te bieden en de interactie tussen mens en machine in het SOC te verbeteren.

Security Information and Event Management (SIEM)-tools bieden een beproefde manier om inzicht te krijgen in zelfs de meest uitgebreide en complexe omgevingen. Door loggegevens uit elke hoek van uw netwerk te aggregeren, bieden SIEM's een gecentraliseerd overzicht van uw volledige infrastructuur. Deze zichtbaarheid is cruciaal, maar soms kan het bezorgen van de juiste informatie aan de juiste persoon de bottleneck in uw verdediging vormen. Dit artikel onderzoekt de nieuwe mogelijkheden van grote taalmodellen (LLM) in cybersecurity, met name met betrekking tot SIEM-tools.

Next-Gen-Datasheet-pdf.webp

SIEM van de volgende generatie

Stellar Cyber ​​Next-Generation SIEM, als een kritisch onderdeel binnen het Stellar Cyber ​​Open XDR Platform...

Download Data Sheet
demo-afbeelding.webp

Ervaar AI-aangedreven beveiliging in actie!

Ontdek de geavanceerde AI van Stellar Cyber ​​voor onmiddellijke detectie en reactie op bedreigingen. Plan vandaag nog uw demo!

Plan een demo

Aanvallers gebruiken al LLM's tegen kritieke systemen

We hebben al besproken hoe GenAI is transformatie van social engineering-aanvallen, maar publiekelijk beschikbare LLM's helpen geavanceerde dreigingsgroepen op talloze andere manieren. De meest recente van Microsoft Cybersignalenrapport beschrijft hoe groepen zoals de inlichtingendienst van het Russische leger verkenningen hebben uitgevoerd met GenAI.

Een belangrijk aandachtspunt van de dreigingsgroep – genaamd Forest Blizzard – is de verkenning van satelliet- en radartechnologieën in Oekraïne. Dit omvatte verzoeken aan ChatGPT om technische blauwdrukken en uitleg van communicatieprotocollen te leveren. Er is waargenomen dat andere door het land gesteunde groepen de tools van OpenAI op vergelijkbare manieren gebruiken: het door de CCP gesteunde Salmon Typhoon gebruikt het actief om informatie te verzamelen over spraakmakende individuen en de Amerikaanse invloed. In wezen zijn LLM's al onderdeel geworden van de toolkits voor het verzamelen van inlichtingen door dreigingsactoren. Ze gebruiken verder LLM's om scripttechnieken zoals bestandsmanipulatie te verbeteren.

LLM's in SIEM: hoe grote taalmodellen worden toegepast

Microsoft is al begonnen te experimenteren met het inbedden van GenAI in een reeds bestaande SIEM-oplossing: als resultaat zagen ze dat analisten voer taken 26% sneller uit in een gerandomiseerde gecontroleerde studie. Om vast te stellen hoe, bekijk de vier volgende toepassingen van LLM's in SIEM-tools. 

1. Phishing-analyse

Als beveiligingstool die geïntegreerde beveiliging ondersteunt, kan SIEM indicatoren van phishing helpen bevestigen wanneer aanvallers het tegen eindgebruikers gebruiken. Indicatoren van pogingen tot phishing-aanvallen, zoals vermoedelijke datalekken en communicatie met bekende vijandige hosts, kunnen worden onderschept voordat een aanval volledig is uitgevoerd.

Phishing-aanvallen zijn echter vrijwel uitsluitend afhankelijk van het feit dat de juiste boodschap op het juiste moment de juiste gebruiker bereikt. Als taalkundige modellen zijn LLM's perfect geschikt voor het analyseren van de bedoeling van een bericht; In combinatie met de proactieve checks and balances die de geldigheid van bijgevoegde bestanden of URL's beoordelen, is phishing-preventie een beveiligingsmechanisme dat enorm kan profiteren van de aanhoudende populariteit van LLM's. Zelfs de opleiding van werknemers kan dankzij deze LLM's verbeteringen verwachten. Door beveiligingsteams te helpen realistischere en adaptievere e-mails, voicemails en sms-berichten te creëren in nepaanvallen, kunnen uw medewerkers de echte aanvallen op het nippertje detecteren. Deze dubbele aanpak van detectie en voorlichting verkleint aanzienlijk het risico dat phishing-aanvallen erdoorheen glippen.

2. Snelle incidentanalyse

Cyberveiligheidsincidenten kunnen zich op elk moment voordoen, waardoor het voor veiligheidsanalisten van cruciaal belang is om snel te reageren om de gevolgen ervan te beperken en te verzachten. En hoewel aanvallers al LLM's gebruiken om potentiële kwetsbaarheden in software en systemen te begrijpen en te identificeren, kan dezelfde aanpak in beide richtingen werken.

Op momenten waarop een snelle reactie vereist is, kan een snel overzicht de analisten van wacht de mogelijkheid bieden om snel de bredere puzzel op te lossen. Deze LLM's helpen niet alleen bij het opsporen van afwijkingen, maar begeleiden ook beveiligingsteams bij het onderzoeken van deze afwijkingen. Bovendien kunnen ze de reacties op specifieke incidenten automatiseren, zoals het opnieuw instellen van wachtwoorden of het isoleren van gecompromitteerde eindpunten, waardoor het reactieproces op incidenten wordt gestroomlijnd.

3. Onboarding van SIEM-tools

De kritieke tijd van analisten betekent dat – bij het onboarden en het opdoen van ervaring met een nieuwe SIEM-tool – de beveiligingspositie van de organisatie extra zorg en voorzichtigheid vereist. Als een analist nog niet op zijn gemak is met het optimaal gebruiken van een tool, zijn er nog niet gerealiseerde houdingswinsten die nog moeten worden geboekt.

Hoewel het mogelijk is om te wachten en uw analisten organisch de fijne kneepjes van een tool te laten ontdekken, is dit zeker niet de meest efficiënte manier. Omgekeerd is het eveneens inefficiënt om ze uit de dagelijkse taken te halen voor langdurige tooltraining. Als we de perfecte middenweg vinden, kan een toegankelijke LLM-functie worden ingebouwd in een nieuwe SIEM-tool, die alternatieve, snellere manieren van navigatie, integratie en gebruik kan voorstellen, waardoor de vaardigheidskloof kan worden gedicht wanneer analisten deze echt nodig hebben.

4. Planning van incidentrespons 

Incident Response Plans (IRP's) schetsen de noodzakelijke stappen die een organisatie moet nemen om te herstellen van verschillende storingen, zoals malwarebesmettingen. Deze plannen zijn vaak afhankelijk van Standard Operating Procedures (SOP's) om specifieke acties te begeleiden, zoals het beveiligen van een account of het isoleren van netwerkapparatuur. Veel bedrijven beschikken echter niet over up-to-date SOP's of hebben deze helemaal niet, waardoor er ronduit naïef wordt vertrouwd op het personeel om incidenten met hoge stress te beheersen.

LLM's kunnen een cruciale rol spelen bij het opstellen van initiële IRP's, het voorstellen van beste praktijken en het identificeren van lacunes in de documentatie. Ze kunnen ook de betrokkenheid van belanghebbenden ondersteunen en bevorderen door complexe beveiligings- en compliance-informatie om te zetten in relevante en toegankelijke samenvattingen. Dit verbetert de besluitvorming en helpt het personeel prioriteiten te stellen in tijden van crisis.

Door LLM's te integreren in SIEM-tools kunnen organisaties hun cyberbeveiligingspositie verbeteren, hun activiteiten stroomlijnen en de responsmogelijkheden op incidenten verbeteren, zodat ze beter voorbereid zijn op zich ontwikkelende bedreigingen.

Nalevingsoverwegingen

Hoewel GenAI een aantal potentiële voordelen biedt, betekent de status van geavanceerd dat er twee overwegingen zijn om in de gaten te houden.

Data Management

Wanneer u AI in uw onderneming integreert, is het essentieel om ervoor te zorgen dat de gekozen leveranciers ingebouwde functies bieden die de toegang van de LLM beperken tot specifieke werknemers en teams. Door belanghebbenden op het gebied van cyberrisico’s in de hele organisatie te betrekken, kunt u de toegangscontroles die voor elke gebruikssituatie nodig zijn, definiëren en op elkaar afstemmen. Overweeg om uw SIEM-provider om een ​​softwarefactuur te vragen en verduidelijk hoe externe toolproviders trainings- en gespreksgegevens beheren en opslaan.

Log management

Logboekbeheer omvat het verzamelen, opslaan en analyseren van door de computer gegenereerde logbestanden om activiteiten te monitoren en te beoordelen: het vormt de basis van de manier waarop SIEM-tools de systemen in uw organisatie analyseren en beschermen. Overheidsrichtlijnen zoals M-31-21 schrijven bijvoorbeeld voor dat deze logboeken minimaal een jaar moeten worden bewaard. Cloud LLM-platforms maken al gestroomlijnde gegevensverzameling rond gebruikersverzoeken en identiteit mogelijk; en als De SIEM-architectuur is al volwassen aan het worden in de richting van efficiënt logbeheer, zelfs relatief log-zware LLM's vormen een voordeel voor de beveiliging dankzij de geautomatiseerde loganalyse van SIEM-tools.

Bereik uw SIEM-potentieel van de volgende generatie met Stellar Cyber

Als u de sprong naar ML-aangedreven SIEM wilt maken, hoeft u geen totale herziening van uw bredere beveiligingstools te vereisen. Kies in plaats daarvan een tool die zowel SIEM van de volgende generatie biedt als integreert met het volledige aanbod van uw beschikbare apparaten, netwerken en beveiligingsoplossingen. Stellar Cyber's nieuwe generatie SIEM biedt een uniforme, AI-gestuurde oplossing die vereenvoudigt en een boost geeft. 

Klinkt te mooi om waar te zijn
waar zijn?
Zie het zelf!

Boek een adviesgesprek
Scroll naar boven
Meld u aan voor nieuwsbrieven