Зміст

Зловмисники вже використовують LLM проти критично важливих систем
LLM у SIEM: Як застосовуються моделі великих мов
Міркування щодо відповідності
Розкрийте свій потенціал SIEM наступного покоління за допомогою Stellar Cyber

Як інтегрувати великі мовні моделі (LLM) в інструменти SIEM

Як LLM інтегруються в SIEM?
Вони підтримують запити природною мовою, підсумовують інциденти та допомагають в автоматизованому сортуванні.
Чому LLM цінні в операціях безпеки?
Вони знижують бар'єр кваліфікації, зменшують шум та пришвидшують розслідування, інтуїтивно інтерпретуючи складні дані.
Які практичні варіанти використання LLM у SIEM?
Автоматичне створення звітів про інциденти, відповіді на запитання аналітиків та співвіднесення контексту загроз.
Які обмеження LLM у сфері безпеки?
Вони потребують захисних огорож, перевірки контексту та налаштування, щоб уникнути галюцинацій та нерелевантних відповідей.
Як Stellar Cyber використовує LLM на своїй платформі?
Він інтегрує LLM для покращення розслідувань, надання зведених сповіщень та покращення взаємодії людини з машиною в SOC.

Інструменти керування інформацією та подіями безпеки (SIEM) пропонують перевірений спосіб отримання аналітичної інформації навіть у найрозгалуженіших та найскладніших середовищах. Агрегуючи дані журналів з кожного куточка вашої мережі, SIEM пропонують централізований огляд усієї вашої інфраструктури. Ця видимість є критично важливою, але іноді передача потрібної інформації потрібній людині може стати вузьким місцем у вашому захисті. У цій статті буде досліджено нові можливості, що надаються моделями великих мов програмування (LLM) у кібербезпеці, зокрема, щодо інструментів SIEM.

Зловмисники вже використовують LLM проти критично важливих систем

Ми вже обговорювали, як працює GenAI. трансформація атаки соціальної інженерії, але загальнодоступні LLM допомагають передовим групам загроз безліччю інших способів. Найновіша розробка Microsoft Звіт про кіберсигнали детально описує, як такі групи, як розвідувальна когорта російських військових, проводили розвідку за допомогою GenAI.

Одним з ключових напрямків діяльності групи зловмисників під назвою «Лісова хуртовина» є дослідження супутникових та радіолокаційних технологій в Україні. Це включало запити до ChatGPT щодо надання технічних креслень та пояснень протоколів зв'язку. Було помічено, що інші підтримувані країнами групи використовують інструменти OpenAI подібним чином: підтримувана КПК група Salmon Typhoon активно використовує його для отримання інформації про відомих осіб та вплив США. По суті, LLM вже стали частиною інструментів збору розвідувальних даних зловмисників. Вони також використовують LLM для вдосконалення методів сценаріїв, таких як маніпулювання файлами.

LLM у SIEM: Як застосовуються моделі великих мов

Microsoft вже почала експериментувати з вбудовуванням GenAI у вже існуюче SIEM-рішення: в результаті вони побачили, що аналітики виконувати завдання на 26% швидше у рандомізованому контрольованому дослідженні. Щоб з'ясувати, як це працює, розглянемо чотири наступні застосування LLM в інструментах SIEM.

1. Аналіз фішингу

Як інструмент безпеки, що підтримує інтегровану безпеку, SIEM може допомогти підтвердити ознаки фішингу, коли зловмисники використовують його проти кінцевих користувачів. Ознаки спроб фішингових атак, такі як підозра на витік даних та зв'язок з відомими ворожими хостами, можуть бути виявлені ще до того, як атака буде виконана повністю.

Однак фішингові атаки майже виключно залежать від того, чи правильне повідомлення досягає потрібного користувача у потрібний час. Як лінгвістичні моделі, LLM ідеально підходять для аналізу наміру повідомлення; у поєднанні з проактивними перевірками та противагами, які оцінюють достовірність вкладених файлів або URL-адрес, запобігання фішингу є одним із механізмів безпеки, який може значно виграти від постійної популярності LLM. Навіть навчання співробітників може очікувати покращень завдяки цим LLM. Допомагаючи командам безпеки створювати більш реалістичні та адаптивні електронні листи, голосові повідомлення та SMS-повідомлення в імітаційних атаках, ваші співробітники зможуть вчасно виявляти справжні. Такий подвійний підхід виявлення та навчання значно знижує ризик прослизання фішингових атак.

2. Швидкий аналіз інцидентів

Кіберінциденти можуть статися будь-якої миті, тому для аналітиків з безпеки вкрай важливо швидко реагувати, щоб стримувати та пом'якшувати їхні наслідки. І хоча зловмисники вже використовують LLM для розуміння та виявлення потенційних вразливостей у програмному забезпеченні та системах, один і той самий підхід може працювати в обидва боки.

У моменти, коли потрібне швидке реагування, швидкий огляд може дати аналітикам, що працюють на службі, можливість швидко зібрати ширшу головоломку. Ці LLM не лише допомагають у виявленні аномалій, але й допомагають командам безпеки у розслідуванні цих аномалій. Крім того, вони можуть автоматизувати реагування на конкретні інциденти, такі як скидання паролів або ізоляція скомпрометованих кінцевих точок, тим самим оптимізуючи процес реагування на інциденти.

3. Впровадження інструменту SIEM

Критична важливість часу аналітиків означає, що під час впровадження та набуття досвіду роботи з новим інструментом SIEM питання безпеки організації потребують особливої обережності та уважності. Якщо аналітик ще не має впевненості у використанні інструменту на повну потужність, є нереалізовані досягнення, яких ще потрібно досягти.

Хоча можна почекати та органічно дозволити своїм аналітикам розібратися в тонкощах інструменту, це, безумовно, не найефективніший спосіб – навпаки, витягувати їх з повсякденних завдань для тривалого навчання роботі з інструментами так само неефективно. Знаходячи ідеальну золоту середину, доступна функція LLM може бути вбудована в новий інструмент SIEM, яка може пропонувати альтернативні, швидші способи навігації, інтеграції та використання, допомагаючи нівелювати розрив у навичках, коли аналітикам це дійсно потрібно.

4. Планування реагування на інциденти

Плани реагування на інциденти (IRP) окреслюють необхідні кроки, які організація повинна вжити для відновлення після різних збоїв, таких як зараження шкідливим програмним забезпеченням. Ці плани часто спираються на Стандартні операційні процедури (SOP) для керівництва конкретними діями, такими як захист облікового запису або ізоляція мережевого обладнання. Однак багато компаній або не мають актуальних SOP, або взагалі не мають їх, покладаючи відверто наївну впевненість у тому, що персонал керуватиме інцидентами з високим рівнем стресу.

Магістри права (LLM) можуть відігравати вирішальну роль у складанні початкових планів внутрішньої перевірки (IRP), пропонуючи найкращі практики та виявляючи прогалини в документації. Вони також можуть підтримувати та сприяти залученню зацікавлених сторін, перетворюючи складну інформацію про безпеку та відповідність вимогам на релевантні та доступні резюме. Це покращує процес прийняття рішень та допомагає персоналу розставляти пріоритети в кризові часи.

Інтегруючи LLM в інструменти SIEM, організації можуть покращити свою кібербезпеку, оптимізувати операції та розширити можливості реагування на інциденти, забезпечуючи кращу підготовку до загроз, що постійно змінюються.

Міркування щодо відповідності

Хоча GenAI пропонує низку потенційних переваг, його статус передового означає, що є два фактори, на які слід звернути увагу.

Управління даними

Під час інтеграції штучного інтелекту у ваше підприємство важливо переконатися, що обрані постачальники пропонують вбудовані функції, які обмежують доступ до LLM лише певним співробітникам і командам. Залучення зацікавлених сторін у сфері кіберризиків по всій організації має допомогти вам визначити та узгодити засоби контролю доступу, необхідні для кожного випадку використання. Розгляньте можливість звернутися до свого постачальника SIEM за наданням переліку програмного забезпечення та уточніть, як сторонні постачальники інструментів керують і зберігають дані навчання та розмов.

Управління Вхід

Керування журналами включає збір, зберігання та аналіз файлів журналів, згенерованих комп’ютером, для моніторингу та перевірки активності: це основа того, як інструменти SIEM аналізують та захищають системи у вашій організації. Наприклад, урядові директиви, такі як M-31-21, вимагають зберігання цих журналів протягом щонайменше одного року. Хмарні платформи LLM вже дозволяють оптимізувати збір даних щодо запитів та ідентифікації користувачів; а також Архітектура SIEM вже розвивається для ефективного управління журналами, навіть LLM з відносно великою кількістю журналів представляють перевагу для безпеки завдяки автоматизованому аналізу журналів інструментами SIEM.

Розкрийте свій потенціал SIEM наступного покоління за допомогою Stellar Cyber

Перехід на SIEM на базі машинного навчання не повинен вимагати повної переробки ваших ширших інструментів безпеки. Натомість оберіть інструмент, який забезпечує SIEM наступного покоління та інтегрується з усіма вашими пристроями, мережами та рішеннями безпеки. SIEM наступного покоління від Stellar Cyber пропонує уніфіковане рішення на основі штучного інтелекту, яке спрощує та покращує роботу.

Суміжні ресурси

Можливості безпеки

Вертикали

Порівняйте зі Stellar Cyber

порівняння

Використовуйте випадки

Диференціатори

Лідерство мислення

Програми та ресурси

Почніть роботу зі Stellar Cyber

Рекомендовані ресурси

Посібники з автоматизації SOC

Посібники з SecOps

Посібники SIEM на основі штучного інтелекту

Виберіть мову

Як інтегрувати великі мовні моделі (LLM) в інструменти SIEM

Зловмисники вже використовують LLM проти критично важливих систем

LLM у SIEM: Як застосовуються моделі великих мов

1. Аналіз фішингу

2. Швидкий аналіз інцидентів

3. Впровадження інструменту SIEM

4. Планування реагування на інциденти

Міркування щодо відповідності

Управління даними

Управління Вхід

Розкрийте свій потенціал SIEM наступного покоління за допомогою Stellar Cyber

Звучить занадто добре, щоб бути правдою? Подивіться самі!

Продукти

Багатошаровий штучний інтелект™

Порівняти

Партнери

Ресурси

Компанія

Для підприємств

Для MSSP

Можливості та технології

мережу

Печиво на Stellar

Звучить занадто добре, щоб
бути правдою?
Подивіться самі!