この記事は元々掲載されました ヘルプネットセキュリティ。
LLMとエージェントシステムは、会議の文字起こしや要約、アクションアイテムの抽出、重要なメールの優先順位付け、さらには旅行の計画など、日常の生産性向上にすでに力を入れています。しかし、SOC (ミスには大きな代償が伴う) では、今日のモデルが高精度を必要とする作業につまずきます。 大量のリアルタイムデータストリームにわたって一貫した実行が可能です。この信頼性のギャップを大規模に埋めるまでは、LLM だけでは大部分の SOC タスクを自動化することはできません。
人間が得意とすること 曖昧な問題をフレーミングしたり、リスクを意識した判断を下したり、ドメインの直感を適用したりします。特にシグナルが弱かったり、矛盾していたり、斬新だったりする場合は特にそうです。
機械が得意とすること 大量、高速、非構造化データを低い限界コストで処理します。疲れたり、忘れたり、ドリフトしたりすることがないため、脅威の検出を補完するのに理想的です。ただし、コンテキストの組み立て、仮説の生成、ビジネスリスクの判断に関しては、マシン (および LLM) が人間に完全に代わることはできないため、トリアージは人間のものにとどまっています。
私たちはまだSOC自動化の初期段階にあります。攻撃者が AI 主導の自動化を武器に利用するについていくには、マシンがほとんどの攻撃をマシンスピードで阻止できるという均衡状態に達する必要があります。そのバランスが取れていないと、防御側はすぐに遅れをとってしまいます。
SOC 内部の LLM を壊す原因は何か
マシンスピード防御に移行するには、プラットフォームが現在のLLMの限界を克服する必要があります。
- 大規模なリアルタイム取り込み
急速に蓄積されるデータ(ログ、EDR、電子メール、クラウドリソース、ID、コード、ファイルなど)を遅延や損失なしに継続的に処理します。
- 大規模で耐久性のあるコンテキスト
長期にわたって存続する膨大なナレッジ(資産インベントリ、ベースライン、ケース履歴)を保管・取得することで、時間の経過に伴うアクションやシーケンスを正しく解釈できます。
- 低レイテンシー、低コストの実行
受信データと同じ速度でフィルタリング、関連づけ、エンリッチメント、推論を実行でき、しかも非常に低コストで実行できるため、企業に合わせて拡張できます。
- 決定論的論理
大規模なデータセットについて一連の考え方をたどると、反復可能で、説明可能で、理解しやすい(気まぐれでなく、不透明でない)結果が得られます。
- 推論の一貫性
生成モデルのボラティリティではなく、2人の人間間の意見の相違のマージンに匹敵するスプレッドで、キャリブレーションされた反復可能なロジックを提供します。
解決方法:スタックの再考
進むべき道は「より多くのプロンプト」ではありません。こうした問題を解決し、LLM を SOC のユースケースに適させる新しいタイプのモデルです。
AI/MLで何か役に立つことをしたことがある人なら誰でも、モデルには高品質のデータが必要であることを知っています。質の高い脅威の検出と調査には、ログで得られるデータよりもはるかに多くのデータが必要となるため、ログ中心の SIEM から脱却する必要があります。ビジネスクリティカルなアプリケーション内の通常とは異なる場所から、ファイル権限の変更などの機密操作が行われたとします。イベントレコードだけでは十分ではありません。ファイルの種類、ラベル、変更を加えたユーザーの役割と権限、ファイルの作成者などを知る必要があります。
そのためには、ログだけでなく、ID、構成、コード、ファイル、脅威インテリジェンスも取り込んで相関させるリアルタイムのデータウェアハウスが必要です。このウェアハウスの上に、これらすべてのリアルタイムデータを人間並みの推論で処理できる AI エンジンを稼働させる必要があります。
AI エンジンのアプローチの 1 つは、次のものを構築することです マルチモデル AI エンジン- セマンティック推論、行動分析、大規模言語モデルを組み合わせたパイプライン。セマンティック理解と統計的機械学習は、低レイテンシーのパイプラインを介して大量のデータを処理し、LLM が相互に関連付けて推論しなければならない部分を絞り込みます。 結果:レイテンシーやコストを増大させることなく、大規模で信頼性の高い推論が可能になります。
このアプローチのもう1つの利点は、リアルタイムのデータウェアハウスは、脅威を検出してアラートをトリアージするためのAIエンジンの継続的なトレーニングに不可欠ですが、可視性とフォレンジックのための長期的なウェアハウスとしても使用できることです。これにより、従来のSIEMをはるかに最新のデータプラットフォームに効果的に置き換えることができます。これにより、AI主導のSOCのSIEMレスの未来が実現します。
これによってSOCはどう変わるのでしょうか?
- 脅威検知 (検知エンジニア)
ほとんどの組織では、このまれで専門的な役割は、脆弱なルールの作成やUEBAのチューニングから、適応システムの設計にまで発展しています。エンジニアは、個々の指標やシグネチャの検出を行う代わりに、ログ、ID、構成、コードリポジトリ全体でシグナルを継続的に相関させるAI主導のモデルを操作します。焦点は、ルールの作成から、長期にわたって検出の精度を保つための脅威モデリングとフィードバックループに移ります。
- アラートのトリアージ (SOC アナリスト/ティア1 & 2)
トリアージは長い間、エンリッチメント、相関関係、ノイズリダクション、IT部門やDevOpsのユーザーによる確認の追跡などによって行われてきました。高度なAIエンジンと人間の監視により、この作業のほとんどを自動化できます。当社のトリアージボット (Exabots) は人間のアナリストと連携して作業し、生産性を劇的に向上させます。時間が経つにつれて、人員配置モデルは変化します。つまり、24時間365日の対応のために大規模なTier-1/Tier-2チームやアウトソーシングされたMSSPへの依存度が低くなり、全体的なコストが下がり、より多くのアラートを検出してトリアージできるようになります。
- スレット・ハンター
ハンティングは人間の直感が最も重要ですが、遅いクエリ、断片化されたツール、不完全なデータによって抑制されることがよくあります。最新のデータアーキテクチャと上記の AI エンジンにより、ハンターは、異常を浮き彫りにしてタイムラインを組み立てる自動エージェントの支援を受けて、相関関係のあるコンテキスト豊富な情報をリアルタイムで照会できます。ハンターは、証拠の収集に何時間も費やす代わりに、エージェントに仮説の検証、敵対者エミュレーションの実行、弱いシグナルの創造的追求を行うようプログラムし、事後対応型のケースワークからプロアクティブな防御へと移行します。
これが次に向かう場所
現代のデータアーキテクチャと進化したAIモデルを組み合わせることで、今日のLLMの制限の多くを克服し、エージェントシステムから信頼できる成果を得るために必要な人的監視を徐々に減らすことができると確信しています。これは、大企業規模の予算や人員なしでエンタープライズグレードのセキュリティを提供しなければならない中規模企業にとって最も重要です。適切に行えば、マシンはセキュリティを民主化し、多くの組織がレガシーアーキテクチャとその制約から飛び越えることができるようになります。
つまり、LLMはブレークスルーですが、セキュリティには 改変された脳、 リアルタイムかつ永続的なコンテキスト、決定論的論理、大規模環境での一貫した推論を実現するように構築されています。それが私たちが取り組んでいることです。 エクサフォース。
