如何将大型语言模型 (LLM) 集成到 SIEM 工具中

  • 关键要点:
  • LLM 如何集成到 SIEM?
    它们支持自然语言查询、总结事件并协助自动分类。
  • 为什么法学硕士在安全运营中很有价值?
    它们通过直观地解释复杂数据来降低技能障碍、减少噪音并加速调查。
  • LLM 在 SIEM 中的实际用例有哪些?
    自动生成事件报告、回答分析师的问题并关联威胁背景。
  • 安全领域的法学硕士有哪些局限性?
    它们需要护栏、上下文验证和调整以避免幻觉和不相关的反应。
  • Stellar Cyber​​ 如何在其平台上使用 LLM?
    它集成了 LLM 来加强调查、提供警报摘要并改善 SOC 中的人机交互。

安全信息和事件管理 (SIEM) 工具提供了一种久经考验的方法,即使在最庞大、最复杂的环境中也能获得洞察。通过聚合来自网络各个角落的日志数据,SIEM 可以提供整个基础架构的集中视图。这种可视性至关重要——但有时,将正确的信息传递给正确的人员可能会成为防御体系的瓶颈。本文将探讨大型语言模型 (LLM) 在网络安全领域(尤其是 SIEM 工具领域)赋予的新可能性。

Next-Gen-数据表-pdf.webp

下一代 SIEM

Stellar Cyber​​ 下一代 SIEM 是 Stellar Cyber​​ Open XDR 平台中的关键组件……

下载数据表
演示-图片.webp

亲身体验人工智能驱动的安全!

探索 Stellar Cyber​​ 的尖端 AI,实现即时威胁检测和响应。立即安排您的演示!

安排演示

攻击者已利用 LLM 攻击关键系统

我们已经讨论过 GenAI 是如何 转型社会工程攻击但公开的 LLM 正在以各种其他方式帮助高级威胁组织。微软最近 网络信号报告 详细介绍了俄罗斯军方情报部门等团体如何使用 GenAI 进行侦察。

这个被称为“森林暴风雪”的威胁组织的一个重点是探索乌克兰的卫星和雷达技术。其中包括要求 ChatGPT 提供技术蓝图和通信协议说明。据观察,其他国家支持的组织也在以类似的方式使用 OpenAI 的工具:中共支持的 Salmon Typhoon 正在积极使用它来获取有关知名人士和美国影响力的信息。从本质上讲,LLM 已经成为威胁行为者情报收集工具包的一部分。他们还使用 LLM 来增强脚本技术,例如文件操作。

SIEM 中的 LLM:如何应用大型语言模型

微软已经开始尝试将 GenAI 嵌入到现有的 SIEM 解决方案中:结果,他们看到分析师 执行任务速度提高 26% 在一项随机对照试验中。为了确定具体方法,我们来看看 LLM 在 SIEM 工具中的以下四种应用。 

1. 网络钓鱼分析

作为支持集成安全性的安全工具,SIEM 可在攻击者利用网络钓鱼攻击最终用户时帮助确认网络钓鱼迹象。在攻击完全实施之前,可以捕获网络钓鱼攻击企图的迹象,例如疑似数据泄露和与已知恶意主机的通信。

然而,网络钓鱼攻击几乎完全依赖于在正确的时间将正确的消息发送给正确的用户。作为语言模型,LLM 非常适合分析消息的意图;再加上评估附件或 URL 有效性的主动检查和平衡,网络钓鱼预防是一种安全机制,它将从 LLM 的持续流行中受益匪浅。由于这些 LLM,员工教育也有望得到改善。通过帮助安全团队在模拟攻击中创建更真实、更具适应性的电子邮件、语音邮件和短信,您的员工能够在关键时刻检测到真实的攻击。这种检测和教育的双重方法大大降低了网络钓鱼攻击的风险。

2. 快速事件分析

网络安全事件随时可能发生,因此安全分析师必须迅速做出反应,遏制并减轻其影响。虽然攻击者已经在使用 LLM 来了解和识别软件和系统中的潜在漏洞,但同样的方法也可以双向发挥作用。

在需要快速响应的时刻,快速概览可以让值班分析师快速拼凑出更大的谜团。这些 LLM 不仅有助于异常检测,还可以指导安全团队调查这些异常。此外,它们可以自动响应特定事件,例如重置密码或隔离受损端点,从而简化事件响应流程。

3. SIEM 工具入门

分析师的时间至关重要,这意味着在开始使用新 SIEM 工具并获得经验时,组织的安全态势需要格外小心谨慎。如果分析师还不能熟练地使用工具,那么仍然需要实现未实现的态势提升。

虽然可以等待并让分析师自然而然地弄清楚工具的复杂性,但这肯定不是最有效的方式——相反,将他们从日常任务中抽离出来进行冗长的工具培训同样是低效的。为了达到完美的折中方案,可以将可访问的 LLM 功能内​​置到新的 SIEM 工具中,它可以建议替代的、更快的导航、集成和使用方式,帮助在分析师真正需要时弥补技能差距。

4. 事件响应计划 

事件响应计划 (IRP) 概述了组织从各种故障(例如恶意软件感染)中恢复所必须采取的必要步骤。这些计划通常依靠标准操作程序 (SOP) 来指导具体操作,例如保护帐户或隔离网络设备。然而,许多公司要么缺乏最新的 SOP,要么根本没有,坦率地说,他们天真地依赖员工来管理高压力事件。

LLM 可以在起草初始 IRP、提出最佳实践以及识别文档缺陷方面发挥关键作用。他们还可以通过将复杂的安全和合规信息转化为相关且易于理解的摘要来支持和促进利益相关者的参与。这可以增强决策能力,并帮助员工在危机时刻确定优先事项。

通过将 LLM 集成到 SIEM 工具中,组织可以改善其网络安全态势、简化运营并增强事件响应能力,确保他们更好地准备应对不断变化的威胁。

合规注意事项

虽然 GenAI 提供了许多潜在的好处,但其尖端地位意味着有两点需要关注。

数据管理

在将 AI 集成到您的企业时,必须确保所选供应商提供内置功能,将 LLM 的访问权限限制为仅限特定员工和团队。让整个组织的网络风险利益相关者参与进来应该可以帮助您定义和协调每个用例所需的访问控制。考虑向您的 SIEM 提供商索要软件账单,并阐明第三方工具提供商如何管理和存储培训和对话数据。

日志管理

日志管理涉及收集、存储和分析计算机生成的日志文件以监控和审查活动:它是 SIEM 工具分析和保护组织系统的基础。例如,M-31-21 等政府指令规定这些日志需要存储至少一年。云 LLM 平台已经允许简化有关用户请求和身份的数据捕获;并且 SIEM 架构已日趋成熟,可实现高效的日志管理,由于 SIEM 工具的自动日志分析功能,即使是日志量相对繁重的 LLM 也能为安全性带来好处。

利用 Stellar Cyber​​ 发挥您的下一代 SIEM 潜力

迈向由机器学习驱动的 SIEM 并不需要彻底改造您的广泛安全工具。相反,选择一种既能提供下一代 SIEM 功能,又能与您现有的所有设备、网络和安全解决方案集成的工具。 Stellar Cyber​​ 的下一代 SIEM 提供统一的、人工智能驱动的解决方案,以简化和增强。 

听起来太好了
是真的吗?
自己看吧!

获取Demo
滚动到顶部
订阅新闻通讯