Jak zintegrować modele wielkojęzyczne (LLM) z narzędziami SIEM

  • Kluczowe dania na wynos:
  • W jaki sposób LLM są integrowane z systemem SIEM?
    Obsługują zapytania w języku naturalnym, podsumowują incydenty i pomagają w automatycznej segregacji.
  • Dlaczego LLM-y są przydatne w operacjach bezpieczeństwa?
    Obniżają barierę umiejętności, redukują szum informacyjny i przyspieszają dochodzenia poprzez intuicyjną interpretację złożonych danych.
  • Jakie są praktyczne przypadki użycia LLM w SIEM?
    Automatyczne generowanie raportów o incydentach, odpowiadanie na pytania analityków i korelacja kontekstu zagrożenia.
  • Jakie są ograniczenia studiów LLM w dziedzinie bezpieczeństwa?
    Wymagają zabezpieczeń, weryfikacji kontekstowej i dostrajania w celu uniknięcia halucynacji i nieistotnych odpowiedzi.
  • W jaki sposób Stellar Cyber ​​wykorzystuje LLM na swojej platformie?
    Integruje systemy LLM w celu usprawnienia dochodzeń, zapewnienia podsumowań alertów i poprawy interakcji człowiek-maszyna w SOC.

Narzędzia do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) oferują sprawdzony i przetestowany sposób uzyskiwania wglądu nawet w najbardziej rozległe i złożone środowiska. Agregując dane dziennika z każdego zakątka sieci, SIEM-y oferują scentralizowany widok całej infrastruktury. Ta widoczność jest kluczowa – ale czasami dostarczenie właściwej informacji właściwej osobie może być wąskim gardłem pozostawionym w obronie. W tym artykule zbadamy nowe możliwości oferowane przez duże modele językowe (LLM) w cyberbezpieczeństwie, w szczególności w odniesieniu do narzędzi SIEM.

Arkusz danych nowej generacji-pdf.webp

SIEM nowej generacji

Rozwiązanie SIEM nowej generacji Stellar Cyber, jako kluczowy komponent platformy Stellar Cyber ​​Open XDR...

Pobierz kartę charakterystyki
demo-obraz.webp

Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!

Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber ​​do natychmiastowego wykrywania zagrożeń i reagowania. Zaplanuj demo już dziś!

Zaplanuj demo

Atakujący już korzystają z LLM przeciwko systemom krytycznym

Omówiliśmy już, czym jest GenAI transformujący atak socjotechniczny, ale publicznie dostępne LLM pomagają zaawansowanym grupom zagrożeń na niezliczone inne sposoby. Najnowsza wersja Microsoftu Raport o sygnałach cybernetycznych szczegółowo opisuje, w jaki sposób grupy takie jak kohorta wywiadu rosyjskiej armii prowadziły rozpoznanie za pomocą GenAI.

Jednym z kluczowych celów grupy zajmującej się zagrożeniami – nazwanej Forest Blizzard – jest eksploracja technologii satelitarnych i radarowych na Ukrainie. Obejmowało to prośby o dostarczenie przez ChatGPT planów technicznych i wyjaśnień dotyczących protokołów komunikacyjnych. Zaobserwowano, że inne grupy wspierane przez narody korzystają z narzędzi OpenAI w podobny sposób: wspierana przez KPCh firma Salmon Typhoon aktywnie wykorzystuje je do pozyskiwania informacji na temat znanych osobistości i wpływów USA. Zasadniczo narzędzia LLM stały się już częścią zestawów narzędzi do gromadzenia danych wywiadowczych stosowanych przez podmioty zagrażające. Ponadto wykorzystują LLM do ulepszania technik skryptowych, takich jak manipulowanie plikami.

LLM w SIEM: jak stosowane są modele dużych języków

Microsoft rozpoczął już eksperymenty z osadzaniem GenAI w istniejącym wcześniej rozwiązaniu SIEM: w rezultacie dostrzegli, że analitycy wykonuj zadania 26% szybciej w randomizowanym, kontrolowanym badaniu. Aby dowiedzieć się, jak to zrobić, przyjrzyj się czterem następującym zastosowaniom LLM w narzędziach SIEM. 

1. Analiza phishingu

Jako narzędzie bezpieczeństwa wspierające zintegrowane zabezpieczenia, SIEM może pomóc w potwierdzeniu wskaźników phishingu, gdy osoby atakujące wykorzystują go przeciwko użytkownikom końcowym. Wskaźniki prób ataków typu phishing, takie jak podejrzenie wycieku danych i komunikacji ze znanymi wrogimi hostami, mogą zostać wykryte przed pełnym wykonaniem ataku.

Jednak – ataki phishingowe polegają niemal wyłącznie na tym, że właściwa wiadomość dotrze do właściwego użytkownika we właściwym czasie. Jako modele językowe, LLM doskonale nadają się do analizy intencji komunikatu; w połączeniu z proaktywnymi kontrolami i równowagą, które oceniają ważność załączonych plików lub adresów URL, zapobieganie phishingowi to jeden z mechanizmów bezpieczeństwa, który w ogromnym stopniu zyskuje na ciągłej popularności LLM. Nawet edukacja pracowników może spodziewać się ulepszeń dzięki tym programom LLM. Pomagając zespołom ds. bezpieczeństwa w tworzeniu bardziej realistycznych i adaptacyjnych wiadomości e-mail, głosowych i SMS-ów w ramach pozorowanych ataków, Twoi pracownicy są w stanie wykryć prawdziwe ataki w ostatniej chwili. To podwójne podejście do wykrywania i edukacji znacznie zmniejsza ryzyko prześlizgnięcia się ataków phishingowych.

2. Szybka analiza incydentów

Incydenty związane z cyberbezpieczeństwem mogą wystąpić w dowolnym momencie, dlatego analitycy bezpieczeństwa muszą szybko reagować, aby powstrzymać i złagodzić ich skutki. I chociaż napastnicy już wykorzystują LLM do zrozumienia i zidentyfikowania potencjalnych luk w oprogramowaniu i systemach, to samo podejście może działać w obie strony.

W momentach, w których wymagana jest szybka reakcja, szybki przegląd może dać dyżurnym analitykom możliwość szybkiego ułożenia szerszej układanki. Te narzędzia LLM nie tylko pomagają w wykrywaniu anomalii, ale także pomagają zespołom ds. bezpieczeństwa w badaniu tych anomalii. Co więcej, mogą automatyzować reakcje na określone zdarzenia, takie jak resetowanie haseł lub izolowanie zainfekowanych punktów końcowych, usprawniając w ten sposób proces reagowania na incydenty.

3. Wdrażanie narzędzia SIEM

Krytyczność czasu analityków oznacza, że ​​– podczas wdrażania i zdobywania doświadczenia z nowym narzędziem SIEM – stan bezpieczeństwa organizacji wymaga szczególnej uwagi i ostrożności. Jeśli analityk nie czuje się jeszcze komfortowo, korzystając z narzędzia w miarę jego możliwości, nadal należy wprowadzić niezrealizowane korzyści w zakresie postawy.

Chociaż można poczekać i w organiczny sposób pozwolić analitykom poznać zawiłości narzędzia, z pewnością nie jest to najskuteczniejszy sposób – i odwrotnie, odciąganie ich od codziennych zadań w celu długiego szkolenia w zakresie narzędzi jest podobnie nieefektywne. Trafiając idealnie pośrodku, dostępna funkcja LLM może zostać wbudowana w nowe narzędzie SIEM, które może sugerować alternatywne, szybsze sposoby nawigacji, integracji i użytkowania, pomagając wyrównać lukę w umiejętnościach wtedy, gdy analitycy naprawdę tego potrzebują.

4. Planowanie reagowania na incydenty 

Plany reagowania na incydenty (IRP) określają niezbędne kroki, które organizacja musi podjąć, aby odzyskać siły po różnych awariach, takich jak infekcja złośliwym oprogramowaniem. Plany te często opierają się na standardowych procedurach operacyjnych (SOP), które wyznaczają konkretne działania, takie jak zabezpieczanie konta lub izolowanie sprzętu sieciowego. Jednakże wiele firm albo nie posiada aktualnych standardowych procedur operacyjnych, albo nie posiada ich w ogóle, szczerze mówiąc, naiwnie polegając na pracownikach w zakresie zarządzania incydentami powodującymi duży stres.

LLM mogą odegrać kluczową rolę w opracowywaniu wstępnych planów IRP, sugerowaniu najlepszych praktyk i identyfikowaniu luk w dokumentacji. Mogą także wspierać i wspierać zaangażowanie interesariuszy, przekształcając złożone informacje dotyczące bezpieczeństwa i zgodności w odpowiednie i przystępne podsumowania. Ułatwia to podejmowanie decyzji i pomaga pracownikom ustalać priorytety w czasach kryzysu.

Integrując LLM z narzędziami SIEM, organizacje mogą poprawić swój poziom cyberbezpieczeństwa, usprawnić operacje i zwiększyć możliwości reagowania na incydenty, zapewniając lepsze przygotowanie do stawienia czoła zmieniającym się zagrożeniom.

Uwagi dotyczące zgodności

Chociaż GenAI oferuje wiele potencjalnych korzyści, jego najnowocześniejszy status oznacza, że ​​należy zwrócić uwagę na dwie kwestie.

Zarządzanie danymi

Integrując sztuczną inteligencję w swoim przedsiębiorstwie, należy upewnić się, że wybrani dostawcy oferują wbudowane funkcje, które ograniczają dostęp LLM tylko do określonych pracowników i zespołów. Zaangażowanie interesariuszy zajmujących się ryzykiem cybernetycznym w całej organizacji powinno pomóc w zdefiniowaniu i dostosowaniu kontroli dostępu wymaganych w każdym przypadku użycia. Rozważ poproszenie dostawcy SIEM o rachunek za oprogramowanie i wyjaśnij, w jaki sposób zewnętrzni dostawcy narzędzi zarządzają i przechowują dane dotyczące szkoleń i rozmów.

Zarządzanie Zaloguj

Zarządzanie logami obejmuje gromadzenie, przechowywanie i analizowanie generowanych komputerowo plików dzienników w celu monitorowania i przeglądania aktywności: jest to podstawa sposobu, w jaki narzędzia SIEM analizują i chronią systemy w Twojej organizacji. Na przykład dyrektywy rządowe, takie jak M-31-21, nakładają obowiązek przechowywania tych kłód przez co najmniej rok. Platformy Cloud LLM umożliwiają już usprawnione przechwytywanie danych dotyczących żądań i tożsamości użytkowników; i jako Architektura SIEM już dojrzewa w kierunku wydajnego zarządzania logaminawet stosunkowo duże loga LLM stanowią korzyść dla bezpieczeństwa dzięki automatycznej analizie logów narzędzi SIEM.

Wykorzystaj swój potencjał SIEM nowej generacji dzięki Stellar Cyber

Przejście na SIEM oparty na technologii ML nie powinno wymagać całkowitej zmiany szerszych narzędzi bezpieczeństwa. Zamiast tego wybierz narzędzie, które zapewnia technologię SIEM nowej generacji i integruje się z całą gamą dostępnych urządzeń, sieci i rozwiązań bezpieczeństwa. SIEM nowej generacji firmy Stellar Cyber oferuje ujednolicone rozwiązanie oparte na sztucznej inteligencji, które upraszcza i zwiększa wydajność. 

Brzmi zbyt dobrze, żeby...
Mów prawdę?
Zobacz to sam!

Poproś o demo
Przewiń do góry
Zarejestruj się, aby otrzymywać biuletyny