代理式 SIEM 是一種人工智慧系統,專為自動執行資安事件管理 (SIEM) 而設計,不需人為介入。
目錄
隨著網路攻擊的速度和精密度不斷提升,資安營運中心 (SOC) 越來越難管理大量產生的資安警報。導入資安事件管理 (SIEM) 有助於減輕工作負擔。這套系統可蒐集、分析及交叉關聯來自整個企業的資安資料,進而偵測威脅並支援事件回應。現在,代理式 SIEM 更是進一步利用 AI 來評估大量資料、動態適應不斷變化的情況,並且根據資訊做出決策來達成企業的資安目標。
它之所以稱為「代理式」,是因為它是由一些交互連接的自主式 AI 單元 (也就是所謂的「代理」) 所組成。
代理式資安事件管理 (SIEM) 可被訓練用來:
- 檢查來自記錄檔資料、使用者行為、身分以及雲端的輸入。
- 對各種情境進行推理,例如:重複嘗試登入失敗,或不尋常的網路流量。
- 根據資訊做出決策來隔離可疑的端點、暫時停用帳號,或產生帶有優先次序的事件工單。
- 啟動回應計畫。
- 執行調查。
- 隨時不斷學習。
代理式 SIEM 與傳統 SIEM 有何差別?
傳統 SIEM 解決方案需要人類分析師來評估及回應系統所產生的警報。這在每日警報數量有限的情況下不會有問題,但數量一多就會讓人應接不暇。反觀代理式 SIEM 則利用 AI 和機器學習來應付大量的警報。
傳統 SIEM 基本上是一套先進的記錄檔彙整器,而代理式 SIEM 則像是一名聰明又記憶力驚人的分析師。代理式 SIEM 會根據歷史記錄和情境來動態做出決策,並從其所看到的模式當中學習,透過應用程式開發介面 (API) 來挑選最有效率的解決之道。
機器學習對代理式 SIEM 至關重要,AI 代理會觀察企業來了解其資安決策歷程。它們會看看工程師如何撰寫規則、如何回應威脅和模式、如何回應誤判,以及如何調整門檻值。代理式 SIEM 會偵測每一個動作背後的思路,進而學會做出聰明的決策。
代理式 SIEM 如何運作?
代理式 SIEM 會從多個來源蒐集資訊以進行即時分析,包括:雲端環境、端點、使用者和裝置身分、攻擊模式、近期的系統變更、法規等等。
接著,它會透過 API 來執行自動化工作,並生成其行動的摘要,並解釋它所做的選擇。然後,這些已儲存的「路徑」就能作為 AI 代理和人類分析師的參考,用於改善未來的決策。
代理式 SIEM 會使用大型語言模型 (LLM) 為基礎來進行推理,搜尋它不斷成長的記憶,並且處理新的資訊來做出明智決策。在執行調查時,代理式 SIEM 會動態行動,根據其發現的資訊來調整路徑,而非受限於一份狹隘的檢核清單。
代理式 SIEM 的主要效益
具備獨立性、智慧及記憶的代理式 SIEM 能帶來廣泛的效益:
- 強化威脅偵測及回應功能:由於代理式 SIEM 一直在持續監控環境,因此它能偵測進階持續性滲透攻擊 (APT),讓企業即時發掘問題。接下來,系統會自動實施遏制措施,加快回應速度並降低損害。
- 主動追蹤威脅:代理式 SIEM 隨時都在掃描漏洞並立即判斷其優先次序,協助企業隨時領先駭客一步。
- 智慧分析來減少誤判:歸功於 SIEM 龐大的情境化決策資料庫,代理式 SIEM 能更準確地判斷潛在的威脅,進而減少誤判。如此可減少警報疲勞的情況,提升資安營運效率。
- 提供擴充性與適應性來滿足不斷演變的資安需求:代理式 SIEM 能不斷學習來讓資安營運更加靈活。如此一來,企業就能更主動面對不斷演變的威脅,根據先前的結果來調整回應,不需人為介入就能改善資安態勢。分析師可節省管理警報的時間,將時間用於更具策略性的工作。
代理式 SIEM 的實際應用
幾乎任何產業都能因代理式 SIEM 而受益,以下提供幾個範例:
- 資安託管服務:當資安託管服務供應商 (MSSP) 部署了代理式 SIEM 之後,他們就能減少必須處理的誤判次數,還能自動關閉工單,主動發掘那些非顯而易見的警報,並且更快做出判決。如此就能減少分析師花費在的警報分類上的力氣和時間,進而提升客戶服務並降低成本。
- 製造業:代理式 SIEM 可讓製造業交叉關聯各種企業應用程式、生產系統以及使用者活動的資安事件。企業能夠更快發掘可疑的行為模式並觸發遏制行動,無須手動介入。如此一來就能提高防範的成功率、減少花費在資安事件的時間,並且減少停機時間。
- 金融服務業:擁有大量的敏感資料以及分散式基礎架構的金融服務業隨時面臨著巨大的風險,代理式 SIEM 可自動分類及呈報事件,並協調資安與 IT 團隊之間的回應。如此可縮短平均確認時間以及平均回應時間,改善運轉時間並加快事件處理速度。
建置代理式 SIEM 的挑戰與考量
儘管代理式 SIEM 能帶來長遠的效益,但它也有自己的挑戰,包括:
- 當責:釐清誰該對行動和結果負責,因為代理式 SIEM 系統會自己獨立運作並自行做出決定。
- 監督:決定人員該參與到怎樣的程度。
- 資料隱私:建立資料治理來降低資安風險並符合法規。
- 道德治理:針對決策設定明確的界線,並確保透明度。
企業在建置代理式 SIEM 時應小心謹慎、步步為營,並謹記以下幾點:
- AI 系統應與企業的業務及資安目標一致。
- 透過嚴密的 API 與資料標準化來與現有的資安基礎架構整合。
- 明確定義 AI 代理與分析師的角色。
- 建立備用機制以便能輕易推翻 AI 代理的決策。
- 實施嚴謹的 AI 代理訓練,尤其是領域相關的專業知識。
- 為 AI 代理的學習與決策過程保留完整的文件與稽核記錄,以確保人們對系統的信任。
- 建立持續性監控以適應不斷演變的威脅情勢。
導入代理式 SIEM 的資安營運未來
隨著代理式 SIEM 越來越普及、越來越精密,資安營運也將不斷演進。其中一項最大的改變將會是分析師的角色,他們未來可以將每天的日常工作和分類作業交給 AI 代理來處理,讓自己從被動執行調查、轉換至負責評估 AI 的調查結果。這樣他們就能騰出時間來專心投入威脅的主動追蹤以及策略性決策。但要做這樣的改變,並不是直接將一切都交給機器來處理就行,而是必須在 AI 代理功能與人類情報之間取得妥善的平衡。
哪裡可以取得有關代理式 SIEM 的協助?
SOC 團隊通常很難讓其 SIEM 能徹底發揮,原因是資源有限以及需要耗費大量的人力,因此空有大量的資料,卻少有可化為行動的洞見。由於傳統的 SIEM 在設計上就是只能被動反應,因此您的 SOC 團隊無法迅速採取行動並集中注意力。
Trend Vision One™ 的代理式 SIEM 是 Trend Vision One™ Security Operations (SecOps) 內建的一環,它會將您資料的結構 (schema) 當成一種語言來看待。運用 AI 來了解資料背後的意圖,支援原生及第三方感測器,還有 900 多種第三方資料來源,讓您主動降低風險、將回應自動化,並發揮現有資安投資的最大價值。
Jayce Chang 是產品管理副總裁,專精於資安營運、XDR 與代理式 SIEM/SOAR。
常見問題:
SIEM 的三大特性為何?
SIEM 的三大特性為:(1) 即時的資料與記錄檔的蒐集和交叉關聯;(2) 即時的警報與通知;(3) 運用 AI 來提供優先次序判斷、警報與報表。
SIEM 工具有哪三種不同類型?
SIEM 工具可分為:企業內 (安裝在企業的伺服器上)、雲端 (由雲端廠商代管) 以及混合式 (兩者結合) 三種。
SIEM 與次世代 SIEM 有何差別?
SIEM 採用預先定義的規則來實現自動化,次世代 SIEM 則採用 AI、機器學習與進階自動化技術,因此能更快解決問題並主動偵測威脅。
Google 的 SIEM 工具叫什麼?
Google 的 SIEM 工具稱為「Google Security Operations」,它包含了:雲端式 SIEM、一個整合式平台、可擴充基礎架構,以及威脅情報。
代理式工作流程框架是什麼?
代理式工作流程框架是由一整套的工具與結構所組成,用來建立自動化 AI 代理以便執行複雜、多重步驟的工作。
最常用的代理式框架有哪些?
目前最常用的代理式架構是 LangChain、LangGraph 和 Microsoft AutoGen。
什麼是代理式 AI 防護?
代理式 AI 防護是採用自主式 AI 代理來做決策並回應資安威脅,並搭配嚴密的監控。
什麼是代理式 AI 技術?
代理式 AI 技術是一種自主式人工智慧系統,經過訓練以用來達成特定目標,幾乎不需人為監督。
代理式 AI 有哪些風險?
代理式 AI 可能帶來的一些風險包括:資料外洩、道德考量、管控不足,以及濫用。
代理式 AI 真的來臨了嗎?
是的。現在已經有自主式人工智慧 (AI) 系統可在沒有人為介入的情況下做出決策並採取行動。