关键字: [reInforce, Bedrock, Generative Ai Investigation, Auto Triage Alerts, Question Answer Approach, Data Lake Indexing, Advanced Threat Detection]
本文字数: 1400, 阅读完需: 7 分钟
导读
演讲者介绍了”不只是另一个聊天机器人:Trellix虚拟分析师如何自动扩展”。在演讲中,他讨论了Trellix的AI驱动的虚拟分析师Bedrock如何能够自动调查和分类安全警报。具体而言,Bedrock可以提出问题并收集数据,以确定是否需要人工介入,它还能理解诸如云托管提供商和Tor活动等关键安全概念。该演讲着重介绍了Trellix的XDR解决方案与Bedrock相结合,如何实现自动警报分类,减轻安全分析师的工作负担,让他们能够专注于更高层次的任务,并及时响应诸如勒索软件等潜在威胁。
演讲精华
以下是小编为您整理的本次演讲的精华,共1100字,阅读时间大约是6分钟。
演讲者首先承认人工智能在行业中的普遍存在,并强调应该关注人工智能能为企业带来何种价值。他介绍了Trellix公司,这是2022年McAfee Enterprise和FireEye合并而成的公司,拥有悠久的安全分析传统。
2014年,演讲者和同事们创建了”不可能旅行”分析,这是最重要的安全分析之一。2016年,他们发明了”引导调查”,即与警报相关的操作手册或问题列表。去年,他们推出了AI引导调查,在之前的创新基础上进行了构建。
在人工智能出现之前,采用的方法是从各种来源(SaaS连接器、S3、系统日志等)收集数据,将其存储在数据湖中,对其进行索引,并在其上运行分析规则和智能算法。这种过程有效地摄取和搜索了大量的数据,通常每个客户每天都有TB级的数据量。然而,挑战在于安全团队无法跟上大量警报,有时一天会收到1000多个警报。
为了解决这个问题,Trellix将生成式人工智能集成到了他们的流程中。数据收集和使用分析、规则和智能算法进行初步检测的过程保持不变。但是,与其立即通知人工分析师,Trellix的人工智能系统Bedrock会代表分析师先行调查,然后再通知他们。
贝德罗克(Bedrock)通过利用预先构建的调查来实现自动化分类,这些调查不是行动手册,而是一系列问题和答案。这些问题收集有关警报的信息,例如还发生了什么、资产一直在做什么以及发生的频率。关键的区别在于,贝德罗克可以在亚秒级响应时间内回答这些问题,从而能够及时地为每一个单独的警报提出20个问题。这种能力使得Trellix与其他供应商不同,因为它目前是唯一能够成功执行这种自动分类过程的公司。
发言人曾经近十年运营安全运营中心(SOC),他强调帮助分析师完成更多工作的重要性。传统上,分析师会专注于他们最喜欢的高保真度警报,而忽略信息性的低级别警报。然而,高级威胁参与者通常会在这些信息性警报中显现,例如密码重置或服务帐户创建。通过利用Trellix的XDR和贝德罗克,系统可以将数十亿个事件过滤到1,000个警报,然后进一步缩小到分析师每天可以实际调查的10个警报。
发言人提供了贝德罗克可以自动回答的问题示例,例如用户当前是否在旅行、是否有失败的密码重置、用户是否有执行助理、他们的访问级别以及密码重置后他们做了什么。手动回答这些问题将需要分析师大约13分钟,但贝德罗克可以自动执行此调查。
然后,发言人分享了来自贝德罗克的实际输出,突出了它理解云托管提供商(例如亚马逊云科技)、演示环境和Tor活动等概念的能力。例如,贝德罗克可以识别来自云提供商的IP地址可能不太令人担忧,而来自家庭网络的IP地址则更令人担忧,它还可以识别出演示用户资产,这些资产由于共享凭据和单因素身份验证而更容易受到威胁。
贝德罗克的输出还展示了它对Tor活动的理解,将其识别为企业环境中的异常情况,并将其标记为严重的危害指示。发言人强调,这种程度的情境理解和决策制定能力在12个月前是无法实现的。
演讲者介绍了 Trellix,这是 McAfee Enterprise 与 FireEye 合并后组建的新公司,并重点阐述了该公司在安全分析领域的创新成果,包括”不可能旅行”分析、“引导调查”以及 AI 驱动的调查。Trellix 的工作流程涵盖从各种渠道收集数据、进行初步检测,随后利用其 AI 系统 Bedrock 对警报展开调查,最终将结果通知分析师。
贝德石(BEDROCK)能够回答一系列预先构建的问题,并在亚秒级响应时间内收集有关警报的上下文信息,从而有效地对警报进行分类。该系统展现出对云托管提供商、演示环境和Tor活动等概念的理解,使其能够就哪些警报需要人工干预做出明智决策。
特雷利克斯(Trellix)的方法旨在通过自动化初步调查过程来扩展分析师的能力,让他们能够专注于更高层次的任务并优先处理关键事件。该系统可根据组织的具体需求进行调整和定制,并应对不断演变的威胁形势,其中威胁参与者越来越多地受金钱利益和勒索软件的驱使。
总的来说,特雷利克斯的解决方案为警报分类和调查提供了全面的方法,利用人工智能(AI)提高了安全运营的效率和效果。
下面是一些演讲现场的精彩瞬间:
通过初步检测和快速响应的问答系统,reInforce能够及时对每一个警报进行自动分类,这是其他公司所难以企及的。
在这个关键环节,reInforce发现高级威胁行为者通常会在信息级别的警报中显现,例如密码重置、服务账户创建等日常业务活动,当这些活动出现特定的时序模式时,实际上就是威胁行为者的迹象。
通过规则、分析和情报,reInforce将10亿个事件缩减到1000个警报,再利用Trellix的XDR和Bedrock技术,将警报进一步缩减到10个,这是人类每天实际可以处理的警报数量。
因此,AI会在后台为用户完全自动执行这一过程,只有在需要用户关注时才会提醒用户。
它会彻底调查90%以前被忽视的警报,并将重要警报浮现出来,让用户知道创建服务账户是否合理。
通过自然语言微调,用户可以根据公司的具体需求和规则,对AI的决策进行调整和优化,从而使整个安全生态系统更加智能和高效。
总结
- Trellix的XDR平台凭借Bedrock AI的支持,能够从各种来源摄取海量数据,运用分析和规则检测潜在威胁,随后自动调查每一个警报,通过提出一系列预定义的问题并分析回复。
- 这种由AI驱动的调查过程可以迅速筛选数以千计的警报,包括可能指向高级威胁的低级信息性警报,并仅将最关键的事件呈现给人工分析师进行审核。
- AI的决策过程是透明的,因为它提供了对其结论的详细理由,展现了对云托管提供商、Tor活动和演示环境等概念的理解。
总的来说,Trellix的AI驱动解决方案旨在通过自动化繁琐且耗时的警报分类任务,赋予安全团队权能,使分析师能够专注于更高层次的战略工作,并快速响应关键事件,从而增强组织的整体网络安全态势。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
