我爱收益欢迎来到我们关于 OpenAI 和 Microsoft Sentinel 的系列文章的结尾!回到第 1 部分,我们介绍了用于 OpenAI 的 Azure 逻辑应用程序连接器,并通过一个简单的用例探讨了影响 OpenAI 大型语言模型 (LLM) GPT3 系列文本完成的参数:描述与 Microsoft Sentinel 相关的 MITRE ATT&CK 策略事件。 第 2 部分介绍了另一个有用的场景,总结了使用其 REST API 从 Sentinel 中提取的 KQL 分析规则。在第 3 部分中,我们重新审视了第一个用例并比较了文本完成 (DaVinci) 和聊天完成 (Turbo) 模型。还剩下什么?嗯,很多 – 让我们开始吧!
Microsoft 员工、MVP、合作伙伴和独立研究人员每天都在进行一些令人难以置信的工作,以利用无处不在的生成 AI 的力量。不过,在安全领域,人工智能研究人员最重要的话题之一是数据隐私。我们可以轻松地从 Microsoft Sentinel 事件中提取所有实体,并通过 OpenAI 的 API 将它们发送给 ChatGPT,以总结和得出结论——事实上,就在本周,我在 GitHub 上看到了六个新项目正在这样做。对于开发和测试来说,这当然是一个有趣的项目,但是没有任何企业 SOC 愿意在没有严格定义数据共享协议(或者根本没有,如果他们可以帮助它)。
进入 Azure OpenAI 服务!
Azure OpenAI 服务提供 REST API 访问相同的 GPT-3.5、Codex、DALL-E 2 和我们在本系列前面使用过的其他 LLM,但具有 Microsoft Azure 的安全和企业优势。此服务部署在您的 Azure 订阅中,对静态数据进行加密,数据隐私受 Microsoft 负责任的 AI 原则约束。自 2022 年 12 月 14 日起,包括 DaVinci 在内的文本补全模型已在 Azure OpenAI 服务上普遍可用。在撰写本文时,由 gpt-3.5-turbo 模型提供支持的 ChatGPT 刚刚添加到 Preview中。目前访问权限有限,因此请务必申请访问 Azure OpenAI!
Azure 上的 ChatGPT 解决了在企业 SOC 中操作生成 AI LLM 的主要挑战。我们已经看到了用于汇总事件详细信息、相关实体和分析规则的自动化 – 如果您关注了本系列,我们实际上已经构建了几个示例!下一步是什么?我整理了几个例子,我认为这些例子突出了 AI 将在未来几周和几个月内为安全团队带来最大价值的地方。
- 作为 SOC 分析师和事件响应者的 AI 副驾驶,ChatGPT 可以为通过 Microsoft Teams 与安全操作员交互的自然语言助手提供支持,以提供正在进行的事件的通用操作图。查看 Chris Stelzer 与#SOCGPT的创新工作,了解此功能的示例。
- ChatGPT 可以通过将 Sentinel 分析规则转换为特定于产品的搜寻查询,让分析师在Microsoft 365 Defender 高级搜寻中抢先搜寻高级威胁。Microsoft 的一位同事已经针对紫色组队场景使用 ChatGPT 进行了一些开创性的工作,包括生成和检测漏洞利用代码 – 这里的可能性是无限的。
- ChatGPT 汇总大量信息的能力使其成为事件文档的宝贵工具。想象一下内部 SharePoint,其中包含过去两年中每个已关闭事件的摘要!
在某些领域,ChatGPT 尽管具有创新性,但仍无法取代人类的专业知识和专门构建的系统。实体研究就是这样一个例子;为安全分析和实体映射提供完全定义、规范化的遥测绝对至关重要。ChatGPT 的模型是在一个非常大但仍然有限的数据集上训练的,不能依赖于实时威胁情报。同样,ChatGPT 生成的代码在投入生产之前必须始终经过审查。
