por Dain Perkins
En los últimos años, hemos estado discutiendo los beneficios de un enfoque abierto y transparente de la seguridad , es decir, brindar al público acceso a los detalles de nuestras capacidades de detección y prevención, código, documentación, etc., mejorará lo que podemos ofrecer. función de seguridad de nuestros clientes. En este blog, exploraremos algunas de las formas más recientes en que nuestra iniciativa Open Security ha impactado a la comunidad de Elastic Security, particularmente los temas siempre presentes en torno a la IA generativa y los modelos de lenguaje extenso (LLM), como los proporcionados por OpenAI y .Microsoft
Asistente elástico de IA
Los usuarios de Endgame pueden estar familiarizados con el chatbot Artemis asistido por IA . Artemis proporciona a los usuarios de Endgame una experiencia de chat interactivo que facilita a los analistas de seguridad de todos los niveles de experiencia realizar investigaciones guiadas en los datos de los puntos finales.
Elastic AI Assistant , provisto con Elastic Stack versión 8.8.1 , se basa en las capacidades de Artemis e integra el poder de LLM (modelos de lenguaje grande) directamente en los flujos de trabajo de los analistas. Esto brinda a cada analista las herramientas para clasificar, analizar y remediar de manera más efectiva en cualquier entorno.
¿Cómo se relaciona esto con la seguridad abierta? Lo que realmente nos diferencia de la competencia es la disponibilidad pública de todo el contenido de Elastic Security y cómo los LLM existentes y nuevos pueden aprovechar este conocimiento para hacer de Elastic AI Assistant una herramienta eficaz para modernizar las operaciones de seguridad.
Datos, detección e inteligencia artificial: ¡vaya!
Empecemos con los datos
Elastic Security se basa en Elastic Common Schema (ECS), una arquitectura de código abierto que define un conjunto común de campos y tipos de datos para registros y métricas en Elasticsearch®. En resumen, la ip de origen siempre es source.ip, el nombre del proceso siempre es process.name, etc.
En abril de 2023, Elastic aportó ECS a Open Telemetry y está trabajando en el desarrollo conjunto de un esquema común. Al contribuir con ECS a OpenTelemetry, estamos trabajando para crear una arquitectura común madura para métricas, registros, seguimientos y eventos de seguridad. Junto con OTel continuaremos desarrollando y apoyando este esquema común.
Contribuir a ECS está abierto a todos, y así fue como comencé a trabajar con Elastic hace cinco años. Este espíritu abierto alienta a los usuarios, clientes y desarrolladores, todos con diferentes conocimientos y necesidades de dominio, a contribuir con sus experiencias a las áreas que más les apasionan.
Debido a que ECS es completamente abierto, los LLM capacitados en datos disponibles públicamente tienden a comprender bien cómo Elastic Security almacena y hace referencia a los datos. Por ejemplo, solicitar al Asistente de Elastic AI que ayude con las consultas para analizar rápidamente el tráfico de la red nginx proporciona a los usuarios novatos la sintaxis exacta necesaria, así como una descripción completa de los campos ECS utilizados en la consulta.
Parece que tenemos otro misterio.
Analizar la avalancha interminable de eventos sospechosos puede ser una tarea abrumadora para los analistas más experimentados, mientras que los nuevos empleados a menudo carecen de la experiencia en seguridad y el conocimiento institucional del entorno empresarial necesarios para clasificar y responder rápidamente a las amenazas. Elastic AI Assistant ayuda a los analistas novatos y experimentados a clasificar incidentes más rápido mediante el uso de información de nuestro repositorio de detección público, contexto para reglas de alerta, clasificaciones de riesgo e información técnica y de políticas de MITRE ATT&CK®. El resumen puede incluso incluir recomendaciones para la investigación basadas en el contexto específico de la alerta.
En la siguiente captura de pantalla, Elastic AI Assistant resume la alerta "Solicitud de DNS de DGA sospechosa" y proporciona recomendaciones de investigación inicial para analizar el impacto potencial de esta alerta.
¿También corta y trocea?
Bueno, no, pero puede ayudar:
- Escribir reglas de detección
- Simplifique la migración de SIEM con una conversión de reglas rápida y precisa desde otros lenguajes de consulta
- Sugerencias de flujo de trabajo para cosas como tableros personalizados o canalizaciones de ingestión
- Proporciona recomendaciones sobre qué proxies usar para ingerir una fuente en particular
Las indicaciones rápidas personalizables permiten a nuestros usuarios guardar y reutilizar las indicaciones que brindan las respuestas más efectivas. En el siguiente ejemplo, Elastic AI Assistant crea reglas de lenguaje de consulta de eventos (EQL) basadas en el caso de uso general de detección de "intentos de exfiltración de datos en sistemas Linux".
IA generativa y el poder de la seguridad abierta
La mitad de la batalla con la IA generativa es asegurarse de que esté entrenada con los datos correctos. Nuestro compromiso con la seguridad abierta hace que sea lo más fácil posible para nuestros clientes aprovechar el poder de la IA generada por Elastic AI Assistant en sus operaciones diarias , empoderando tanto a los usuarios novatos como a los experimentados.
Open Security significa más para nosotros que los repositorios públicos de GitHub. La combinación de una taxonomía común estandarizada de eventos y alertas, la disponibilidad pública en todo Elastic Security y el poder de la IA generativa permite nuevos niveles de optimización y eficiencia. Ya sea que se trate de acelerar la arquitectura y la migración para reducir el tiempo de retorno de la inversión, proporcionar a cada analista un entorno que acelere la clasificación y reduzca el MTTR, o empoderar a usuarios novatos y expertos por igual para simplificar las operaciones diarias, Open Security es un componente clave en la modernización de la seguridad. operaciones con Elastic.
empezando desde hoy
Elastic AI Assistant ahora está disponible para todos los usuarios. Para obtener más información sobre cómo integrarlo con su modelo de elección y comenzar a aprovechar el poder de la IA generativa, lea nuestra documentación .
Si desea probarlo usted mismo, visite cloud.elastic.co y regístrese para una prueba gratuita de 14 días.
El lanzamiento y el momento de cualquier característica o funcionalidad descrita en este artículo quedan a criterio exclusivo de Elastic. Cualquier característica o funcionalidad que no esté disponible actualmente puede no entregarse a tiempo o en absoluto.
En esta publicación de blog, podemos usar o hacer referencia a herramientas de inteligencia artificial generativa de terceros que pertenecen y son operadas por sus respectivos propietarios. Elastic no tiene control sobre las herramientas de terceros, y no somos responsables de su contenido, funcionamiento o uso, ni seremos responsables de ninguna pérdida o daño que pueda surgir del uso de dichas herramientas. Tenga cuidado al utilizar herramientas de inteligencia artificial con información personal, sensible o confidencial. Cualquier dato que envíe puede usarse para entrenamiento de inteligencia artificial u otros fines. No puede haber ninguna garantía de que la información que proporcione sea segura o confidencial. Debe familiarizarse con las prácticas de privacidad y los términos de uso de cualquier herramienta de inteligencia artificial generativa antes de usarla.
Elastic, Elasticsearch, ESRE, Elasticsearch Relevance Engine y las marcas relacionadas son marcas comerciales, logotipos o marcas comerciales registradas de Elasticsearch NV en EE. UU. y otros países. Todos los demás nombres de empresas y productos son marcas comerciales, logotipos o marcas comerciales registradas de sus respectivos propietarios.