Agentic SIEM(代理式保安資訊及事件管理)是一個人工智能系統,專為自動執行保安資訊及事件管理而設,無需人工干預。
目錄
隨著網絡攻擊的率及精密度的增加,保安運作中心管理大量保安警報的任務更具挑戰性。推出保安資訊及事件管理有助減低工作負載。這是一個能收集、分析及關聯來自整個機構的保安數據來偵測威脅及支援事故回應的系統。現在,代理式 SIEM 更進一步,利用人工智能評估大量數據,動態適應不斷變化的狀況,並作出明智決策,以達致機構的安全目標。
它被稱為「代理」,因為它由稱為代理的互聯自主人工智能元件組成。
代理式 SIEM 可以接受培訓以:
- 檢查記錄數據、用戶行為、身份及雲端的輸入
- 於多種登入失敗或網絡流量異常等情境應用推理
- 作出明智決定以隔離可疑用戶端、暫時中止帳戶或就事故請求設定優先次序
- 啟動回應計劃
- 進行調查
- 不斷學習
代理式 SIEM 與傳統 SIEM 有何分別?
傳統 SIEM 方案要求分析師評估及回應系統產生的警示。這適用於每日數量有限的警示,但覆蓋規模不足。代理式 SIEM 應用人工智能及機器學習來處理大量警報。
傳統 SIEM 基本上是先進的記錄檔整合器,而代理式 SIEM 就像是具備卓越記憶體的智能分析師。代理式 SIEM 會根據歷史及背景動態作出決定,並從中看到的模式學習,透過應用程式編程介面選擇最有效率的解決途徑。
機器學習對代理式 SIEM 而言至關重要。人工智能代理會觀察機構,以了解保安決策的歷史。他們探討工程師如何撰寫規則、回應威脅及模式、回應誤判及調整門檻。透過偵測每個行動背後的思考過程,代理式 SIEM 學會作出明智決定。
代理式 SIEM 如何運作?
代理式 SIEM 從多個來源收集資料作實時分析,包括雲端環境、用戶端、用戶及裝置身份、攻擊模式、最近的系統變更、法規等等。
然後,它透過應用程式編程介面進行自動化任務,為其選擇建立行動摘要及解釋。人工智能代理及人類分析師可參考這些已儲存的路徑,以加強未來的決策。
代理式 SIEM 應用基於大型語言模型的推理,利用其不斷增長的記憶力,並處理新資訊以作出決策。在執行調查時,代理式 SIEM 會動態運作,根據發現的資訊來改變其路徑,而不是局限於狹窄的檢查清單。
代理式 SIEM 的主要好處
憑藉其獨立性、智能性及記憶力,代理式 SIEM 有莫大好處:
- 強化的威脅偵測與回應功能——自從代理式 SIEM 持續監控環境後,就能發現進階持續性威脅,讓機構即時發現問題。然後,該系統將管控措施自動化,加快回應時間並減少損失。
- 主動威脅捕獵:代理式 SIEM 會不斷掃瞄及優先處理漏洞,協助機構在歹徒面前保持領先地位。
- 智能分析以減少誤判——由於其龐大的背景化決策數據庫,代理式 SIEM 可就潛在威脅得出更準確的結論,從而減少誤判。這可減低警報疲勞,提升保安運作效率。
- 可擴展性與適應性可配合不斷演變的保安需求,代理式 SIEM 不斷學習,令保安運作更靈活。這讓機構在面對不斷演變的威脅時更主動,根據過往結果優化回應,並改善保安狀態,而無須人工干預。分析師可將注意力從管理警示轉至更策略性的任務。
代理式 SIEM 的真實應用
幾乎任何行業都可以從實施代理式 SIEM 中獲益。以下是幾個例子:
- 託管式防護——當他們部署代理式 SIEM 時,託管式防護服務商可以減少處理誤判的數目、自動關閉排序籌號、主動揭露不明顯警報及更快作出裁決。這導致分析師減少花在分類的時間,轉而專注於改善客戶服務和降低成本。
- 製造業——代理式 SIEM 讓製造業機構在業務應用程式、生產系統及用戶活動上關聯保安事件。這使他們能夠更快識別可疑行為,無需人工干預即可啟動遏制行動。其結果是更高的緩解率、縮短保安事故所需時間及縮短停機時間。
- 金融服務——由於擁有大量敏感數據和分佈式基礎設施,金融服務的風險較高。代理式 SIEM 可在保安及資訊科技團隊之間自動分類、上報及協調回應。這可減少平均確認時間及平均回應時間、改善正常運行時間及加快事故處理速度。
實施代理式 SIEM 的挑戰及考慮因素
雖然代理式 SIEM 的效益深遠,但其挑戰包括:
- 問責 — 由於代理式 SIEM 系統會獨立運作並自行作出決定,故需釐清誰負責行動及結果
- 監督——確定適當的人手參與程度
- 資料私隱—建立資料管治以減低保安風險及遵從法規
- 道德管治——為決策設定清晰界限,並確保透明度
機構應謹慎及逐漸實施代理式 SIEM,並考慮到以下因素:
- 使人工智能系統與業務及保安目標保持一致
- 透過實施健全的應用程式編程介面及資料標準化,與現有的保安基礎架構整合
- 為代理及分析師建立定義清晰的角色
- 設定應變機制以輕易推翻代理決策
- 實施精細的代理培訓,尤其是在專門領域的專業知識方面
- 建立健全的代理學習及決策文件及審核追蹤,確保對系統的信任
- 設定持續監控以適應不斷演變的威脅情勢
與代理式 SIEM 共同運作未來的保安
隨著代理式 SIEM 的普及與精密化,保安運作的性質亦將有所演變。其中最大的變化之一將是分析師的職責。他們能夠將日常及分類任務委託給代理,從進行被動調查改為評估人工智能驅動的調查。這將騰出時間專注於主動捕獵威脅及策略性決策。然而,這種轉變並不是將一切委託給機器。重點在於在代理功能與人類智能之間建立仔細的平衡。
我可以在哪裡獲得代理式 SIEM 的協助?
保安運作中心團隊經常因資源有限及需要大量手動作業而難以優化其 SIEM,令他們擁有大量數據,但很少有可行的啟示。傳統 SIEM 的反應式設計令保安運作中心團隊無法迅速採取行動並集中注意力。
Trend Vision One™ Agentic SIEM 是 Trend Vision One™ Security Operations (SecOps) 的一部份,將您的架構作為一種語言來對待。利用人工智能了解數據背後的意圖,支援原生及第三方感應器及超過 900 個第三方數據來源,您可主動降低風險、自動化回應及最大化現有保安投資的價值。
Jayce Chang 是產品管理副總裁,專長於保安運作、XDR 與代理式 SIEM/SOAR。Jayce 的職業生涯多彩多姿,從測試開發人員和品質保證經理以至項目經理,在核心技術、商業解決方案及中小企/託管服務商領域打下堅實基礎。這樣的豐富經驗,讓產品前瞻既以技術為基礎,又具備市場敏銳度,塑造了威脅偵測與回應的未來發展。
常見問題
SIEM 的三大特點是什麼?
SIEM 的三個特徵為:1)實時數據及記錄收集與關聯;2)實時警報及通知;3)使用人工智能提供優先次序、警報及報告。
SIEM 工具有哪三種不同類型?
SIEM 工具可以是駐場(安裝在機構的伺服器上)、雲端(由雲端供應商託管)及混合(兩者結合)。
SIEM 與次世代 SIEM 有何不同?
雖然 SIEM 包括根據預定義規則的自動化,但次世代 SIEM 更包括人工智能、機器學習及進階自動化,因此能更快及主動偵測威脅。
Google 的 SIEM 工具叫甚麼?
Google 的 SIEM 工具稱為 Google Security Operations。包括雲端式 SIEM、整合式平台、可擴充基礎架構及威脅情報。
代理工作流程的框架是甚麼?
代理工作流程框架包含一套工具和結構,用於為複雜的多步驟任務構建自主人工智能代理。
最常用的代理框架是甚麼?
最常用的代理程式框架是 LangChain、LangGraph 及 Microsoft AutoGen。
甚麼是代理式人工智能保安?
代理式人工智能保安採用自主人工智能代理來作出決定,並小心監控以啟動對保安威脅的回應。
甚麼是代理式人工智能技術?
代理式人工智能技術是一個自主的人工智能系統,經過培訓,可實現特定目標,而人類監督需求亦很少。
代理式人工智能有哪些風險?
代理式人工智能可能會帶來數據漏洞、道德考慮因素、有限管控或濫用等風險。
代理式人工智能是否真實?
是。自主人工智能系統可作出決定,並在沒有人工干預的情況下採取行動。