Paul Arends
Moderne Security Operations Centers (SOC’s) worden vaak geconfronteerd met een enorme hoeveelheid waarschuwingen, waardoor uitgebreide handmatige triage en tijdrovende onderzoeken nodig zijn. Deze uitdaging verhindert vaak een efficiënte respons op incidenten en dieper analytisch werk.
Om deze kritieke problemen aan te pakken, heeft het Cisco Foundation AI-team Llama-3.1-FoundationAI-SecurityLLM-1.1-8B-Instruct (Foundation-sec-8b-instruct) ontwikkeld en open source gemaakt. Dit Large Language Model (LLM) met 8 miljard parameters is speciaal ontworpen om complexe beveiligingsworkflows uit te breiden met geavanceerde analytische mogelijkheden. Het model is getraind op een uitgebreide, offline cybersecurity-specifieke dataset en stelt SOC-teams in staat om:
– Vat beveiligingswaarschuwingen efficiënt samen
– Brengt MITRE ATT&CK-tactieken, -technieken en -procedures (TTP’s) nauwkeurig in kaart.
– Teken ingewikkelde aanvalspaden
– Bereid incidentrapporten voor, zodat analisten kostbare tijd vrijmaken voor diepgaand onderzoek
Ons team heeft deze innovatieve oplossing met succes geïmplementeerd en getest binnen het NOC/SOC Black Hat Europe in Londen, wat de effectiviteit ervan in reële omstandigheden aantoont.
Het leiderschap van NOC heeft Cisco en andere partners in staat gesteld aanvullende vooraf goedgekeurde software- en hardwareoplossingen te introduceren, waardoor onze interne efficiëntie is verbeterd en onze zichtbaarheidsmogelijkheden zijn uitgebreid; Cisco is echter niet de officiële leverancier van uitgebreide detectie en respons, beveiligingsgebeurtenissen- en incidentbeheer, firewall, netwerkdetectie en respons, of samenwerkingsdiensten.
Het Foundation-Sec-model is naadloos geïntegreerd in Cisco XDR via twee primaire mechanismen:
– Workflow-integratie: Er is een speciale XDR-workflow gemaakt om API-query’s naar onze Foundation-sec-processerver te vergemakkelijken, waarbij incidentinhoud wordt doorgegeven voor analyse.
– Playbook-integratie: Het model is verder geïntegreerd in XDR als een identificatieplaybook. Hierdoor konden Black Hat-beveiligingsanalisten een onmiddellijke analyse van elk incident starten door ‘Vraag Cisco Foundation AI om het incident te analyseren’ rechtstreeks vanuit de incidentweergave te selecteren.
Tijdens runtime biedt het model uitgebreide analyses, waaronder:
– Een beknopt samenvattend rapport met details over verschillende bevindingen, correlaties en analyses
– Een samenvatting van werklogboeken
– Gedetailleerde aanbevelingen voor verder onderzoek, waarin bruikbare volgende stappen worden beschreven
Daarnaast werd het model gebruikt als herstelgids om samenvattingen van incidenten te genereren voordat het incident werd afgesloten, waardoor het beoordelingsproces na het incident werd gestroomlijnd.
Raadpleeg de volgende bronnen voor meer informatie:
– Andere blogs van onze collega’s bij Black Hat Europe kun je lezen.
Over Zwarte Hoed:
Black Hat is de meest gevestigde en diepgaande reeks beveiligingsevenementen in de cyberbeveiligingsindustrie. Deze jaarlijkse meerdaagse evenementen, opgericht in 1997, bieden bezoekers het nieuwste op het gebied van onderzoek, ontwikkeling en trends op het gebied van cyberbeveiliging. Gedreven door de behoeften van de gemeenschap, presenteert Black Hat Events inhoud rechtstreeks van de gemeenschap door middel van briefingpresentaties, trainingen, topconferenties en meer. Als de evenementenserie waar alle carrièreniveaus en academische disciplines samenkomen om samen te werken, te netwerken en de cyberbeveiligingsonderwerpen te bespreken die voor hen het belangrijkst zijn, kunnen deelnemers Black Hat-evenementen vinden in de Verenigde Staten, Canada, Europa, het Midden-Oosten, Afrika en Azië. Voor meer informatie, bezoek de Black Hat-website.
Wij willen graag weten wat u ervan vindt! Stel een vraag en blijf verbonden met Cisco Security op sociale media.
– Cisco-beveiliging sociale media: LinkedIn, Facebook, Instagram.
BRON
