去年12月6日,谷歌发布多模态的大型语言模型Gemini,一周后推出透过GeminiAPI供应的Gemini Pro,有两项AI辅助操作服务,也趁此时一并正式推出。
其中针对资安维运需求的解决方案,称为Duet AI in Security Operations,2023年稍早已开放超过150家客户试用预览版本,后续将会纳入该公司资安维运平台Chronicle Security Operations的企业版,以及企业加值版,Chronicle现有用户可免费试用Duet AI,直到2024年3月5日为止。
谷歌云强调,他们是第一家在资安维运平台提供将生成式人工智能功能的主要公有云厂商,结合旗下的网络威胁情报服务,可随时掌握漏洞、恶意软件,以及各种入侵指标,协助防护企业与组织的安全。 资安团队能运用生成式人工智能的力量,加速网络威胁的侦测、调查,以及应变,藉此提升整体技能与大幅增进生产力。
在这项人工智能辅助操作服务,谷歌云目前提供三大功能。 首先,是透过自然语言生成定制型查询指令,能在几秒之内搜寻大量数据; 第二是能运用案例数据与警示自动产生摘要,缩短手动审查事件记录的时间,快速突显活动进行的整体脉络; 第三是提供下一个阶段支持事件矫正工作的建议,改进应变所需耗费的时间。
用户只需以自然语言的方式输入简易的资料搜索语句,Chronicle就会将这段叙述翻译为UDM Search查询语法,之后即可执行、检视个别UDM事件,或绑定共通搜寻关键词的UDM事件群组。 之后可以产生Chronicle控管原则,搭配符合此态势的安全信息与规则信息。
而所谓的UDM Search,是在Chronicle寻找以UDM数据结构储存的事件与警示,UDM是Chronicle从各种来源端接收数据之后存放资料的标准结构,也称为纲要,这些数据可存成原始记录与结构化的UDM记录等两种格式。
除此之外,Duet AI in Security Operations也提供人工智能调查工具按钮,可观照整个案例,涵盖警示、事件、实体,并提供由人工智能产生的案例摘要,呈现需要对此案例投入的关注程度,对于警示数据,这个工具也提供摘要,协助IT人员理解威胁的状态,产生接下来采取的行动建议,以便有效矫正问题。 而这当中列出的分类、摘要、建议,均提供意见反馈的选项,可回报人工智能准确度与实用度,协助谷歌云改善精准度。
在使用对象的类型上,基于威胁侦测与应变解决方案而成的Duet AI in Security Operations,背后有多种面向的资源支撑,能协助开发者等多种类型的技术专家,更容易理解与因应网路威胁,能在不需熟悉各种专属语法的状态下,也可以横跨多种记录去搜寻事件资料,这样一来,也等于能帮资安专家省下更多宝贵的时间, 使其能聚焦在解决优先级更高的问题。
根据谷歌云先前收集的一百多家客户试用意见指出,Duet AI in Security Operations,绝大多数表示肯定这项服务的效益。 认为可节省资安分析人员的作业时间,幅度将近7倍之多,藉由这项服务,可减轻内容撰写、执行各种动作,以及精密调整资料搜寻、分类复杂案例的负担,关于手动审查案件流程处理的工作,简化程度可超过5倍; 至于持负面反应的客户比例,则低于1%。
对于Duet AI in Security Operations目前使用的人工智能技术,谷歌云表明是他们特制的资安大语言模型Sec-PaLM,于2023年4月底的RSA年度资安大会期间推出,当时基于这套模型他们也发表Security AI Workbench,而Accenture成为第一家采用这套可延伸平台的厂商, 他们新推出的MxDR代管资安服务,不仅整合Chronicle Security Operations、 Mandiant Threat Intelligence、Security AI Workbench,也连带涵盖最新问世的Sec-PaLM。
这套模型之所以能训练出来,主要有几个来源,包含:Mandiant、VirusTotal这两个网络威胁情报服务,Chronicle巨量资安资料与应变脚本,以及谷歌接触到的超大规模网络威胁信息,当中涵盖的内容相当广泛,囊括资安部落格文章、网络威胁情报报告、YARA工具与使用YARA-L语言写成的侦测规则、SOAR自动处理脚本、 恶意软件指令码、弱点信息、产品文件,以及其他特制的数据集。
