去年12月6日,Google發表多模態的大型語言模型Gemini,一週後推出透過GeminiAPI供應的Gemini Pro,有兩項AI輔助操作服務,也趁此時一併正式推出。

其中針對資安維運需求的解決方案,稱為Duet AI in Security Operations,2023年稍早已開放超過150家客戶試用預覽版本,後續將會納入該公司資安維運平臺Chronicle Security Operations的企業版,以及企業加值版,Chronicle現有用戶可免費試用Duet AI,直到2024年3月5日為止。

Google Cloud強調,他們是第一家在資安維運平臺提供生成式AI功能的主要公有雲廠商,結合旗下的網路威脅情報服務,可隨時掌握漏洞、惡意軟體,以及各種入侵指標,協助防護企業與組織的安全。資安團隊能運用生成式AI的力量,加速網路威脅的偵測、調查,以及應變,藉此提升整體技能與大幅增進生產力。

在這項AI輔助操作服務,Google Cloud目前提供三大功能。首先,是透過自然語言產生訂製型查詢指令,能在幾秒之內搜尋大量資料;第二是能運用案例資料與警示自動產生摘要,縮短手動審查事件記錄的時間,快速突顯活動進行的整體脈絡;第三是提供下一個階段支援事件矯正工作的建議,改進應變所需耗費的時間。

使用者只需以自然語言的方式輸入簡易的資料搜尋語句,Chronicle就會將這段敘述翻譯為UDM Search查詢語法,之後即可執行、檢視個別UDM事件,或綁定共通搜尋關鍵字的UDM事件群組。之後可以產生Chronicle控管原則,搭配符合此態勢的安全資訊與規則資訊。

而所謂的UDM Search,是在Chronicle尋找以UDM(Unified Data Model)資料結構儲存的事件與警示,UDM是Chronicle從各種來源端接收資料之後存放資料的標準結構,也稱為綱要(schema),這些資料可存成原始記錄與結構化的UDM記錄等兩種格式。

除此之外,Duet AI in Security Operations也提供AI調查工具按鈕,可觀照整個案例,涵蓋警示、事件、實體(entities),並提供由AI產生的案例摘要,呈現需要對此案例投入的關注程度,對於警示資料,這個工具也提供摘要,協助IT人員理解威脅的狀態,產生接下來採取的行動建議,以便有效矯正問題。而這當中列出的分類、摘要、建議,均提供意見回饋的選項,可回報AI準確度與實用度,協助Google Cloud改善精準度。

在使用對象的類型上,基於威脅偵測與應變解決方案而成的Duet AI in Security Operations,背後有多種面向的資源支撐,能協助開發者等多種類型的技術專家,更容易理解與因應網路威脅,能在不需熟悉各種專屬語法的狀態下,也可以橫跨多種記錄去搜尋事件資料,這樣一來,也等於能幫資安專家省下更多寶貴的時間,使其能聚焦在解決優先順序更高的問題。

根據Google Cloud先前收集的一百多家客戶試用意見指出,Duet AI in Security Operations,絕大多數表示肯定這項服務的效益。認為可節省資安分析人員的作業時間,幅度將近7倍之多,藉由這項服務,可減輕內容撰寫、執行各種動作,以及精密調整資料搜尋、分類複雜案例的負擔,關於手動審查案件流程處理的工作,簡化程度可超過5倍;至於持負面反應的客戶比例,則低於1%。

對於Duet AI in Security Operations目前使用的AI技術,Google Cloud表明是他們特製的資安大語言模型(LLM)Sec-PaLM,於2023年4月底的RSA年度資安大會期間推出,當時基於這套模型他們也發表Security AI Workbench,而Accenture成為第一家採用這套可延伸平臺的廠商,他們新推出的MxDR代管資安服務,不僅整合Chronicle Security Operations、 Mandiant Threat Intelligence、Security AI Workbench,也連帶涵蓋最新問世的Sec-PaLM。

  

  

這套模型之所以能訓練出來,主要有幾個來源,包含:Mandiant、VirusTotal這兩個網路威脅情報服務,Chronicle巨量資安資料與應變腳本,以及Google接觸到的超大規模網路威脅資訊,當中涵蓋的內容相當廣泛,囊括資安部落格文章、網路威脅情報報告、YARA工具與使用YARA-L語言寫成的偵測規則、SOAR自動處理腳本、惡意軟體指令碼、弱點資訊、產品文件,以及其他特製的資料集。

產品資訊

Duet AI in Security Operations
●原廠:Google Cloud
●建議售價:廠商未提供
●適用Google Cloud資安平臺:Security AI Workbench、Chronicle Security Operations、Security Command Center
●可運用的網路威脅情報服務:Mandiant、VirusTotal、Google Cloud
●採用的大型語言模型:Sec-PaLM

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

熱門新聞

Advertisement