Güvenlik Operasyon Merkezi (SOC) analistleri, her gün çok sayıda güvenlik uyarısı ile karşı karşıya kalıyor. Kuruluşlarının güvenliğini sağlamak için bu uyarıları gözden geçirip, sahte pozitif olanları elemek ve gerçek bir güvenlik ihlalinin göstergelerini tespit etmekle görevlidirler. Ancak, gelen uyarıların miktarı, önemli güvenlik ihlali göstergelerinin gözden kaçmasına sebep olabilir. Üstelik süreç genellikle tekrarlayıcı, zaman alıcı ve maliyetli bir yapıdadır.
Bu sorunları hafifletirken güvenlik seviyesini daha iyi hale getiren bir iş akışı oluşturabilir miyiz?
Bu çabamızda, NVIDIA Morpheus‘u inceliyoruz. Bu, yüksek hızda veri akışlarını işlemek ve analiz etmek için geliştirilmiş bir GPU hızlandırmalı siber güvenlik AI çerçevesidir. Özellikle, geniş ölçekli anomali tespiti için kullanılan dijital parmak izi AI iş akışına odaklanıyoruz.
Dijital Parmak İzi ile Anomali Tespiti
Dijital parmak izi iş akışı, belirli bir varlığın normal davranış profilini öğrenir ve bunu bir oto kodlayıcı modelinde temsil eder. Davranış değişiklikleri olduğunda, örneğin bir kullanıcının birçok yeni lokasyonda görünmesi durumunda, anormallik derecesini belirten bir z-skoru oluşturulur.
NVIDIA NIM ile Güvenlik Operasyonlarını Geliştirme
Geleneksel olarak, AI tabanlı siber anomali tespiti süreçlerinin çıktıları, anomali puanları ve güvenlik olaylarının hangi yönlerinin anormal olduğunu gösteren ek meta veriler içeren tablo biçimindeki verilerdir.
Bu veri beslemesi oldukça bilgilendirici olsa da, yorumlamak zaman alıcı olabilir. Bu yazıda, dijital parmak izi iş akışını üretken yapay zeka ile nasıl güçlendirdiğimizi açıklıyoruz, böylece bu çıktıları daha kolay anlaşılır ve etkileşimli hale getiren uygulamalara dönüştürüyoruz.
Varsayılan bir Llama 3.1 modeli kullanarak, bu dağınık bilgileri okunabilir raporlara dönüştürdük ve her kullanıcı için bir rapor ürettik. Bu sentezleme sürecinin amacı, görünüşte düşük öncelikli olarak sınıflandırılan uyarıları yakalamak, gruplamak ve yerleştirmektir. Bu tür triage işlerinin otomatikleştirilmesi, bir uyarıya yanıt verme süresini de kısaltır.
Akıllı Güvenlik Ko-Pilot Süreci
Uyarıları ürettikten ve ön işleme yaptıktan sonra, kullanıcı özet raporlarını bir güvenlik ko-pilotunu bilgilendirmek için kullanabilirsiniz. Ko-pilot, insan bir SOC analistinden gelen sözlü sorgular alır ve sesli yanıtlar üretir.
Ko-pilot süreci için adımlar şu şekildedir:
- İlk olarak sorguyu metne dökme.
- Bir LLM ajanı dağıtılır ve bu ajana kullanıcı özet raporlarına erişim verilir. Ayrıca, insan bir SOC analistinin genellikle kullanacağı veritabanlarına ve araçlara da okuma erişimi verilir.
- Ajan, çekme-tamamlama (RAG) ile iteratif akıl yürütme yapar.
- LLM ajanının son yanıtı ses formatına geri dönüştürülür.
- Ses, bir avatarın animasyonlarına yön verir.
NVIDIA NIM mikro hizmetleri (kolay dağıtım vurgusu ile bağımsız konteynerleştirilmiş modeller) bu süreçteki temel unsurlardır.
Ses hizmetleri için:
- Parakeet-CTC-1.1B NIM mikro hizmeti; sesli sorguların metne dökülmesi için otomatik konuşma tanıma (ASR) sunar.
- FastPitch-HifiGAN NIM mikro hizmeti, LLM yanıtını sesli hale getirmek için metinden sese (TTS) dönüşüm yapar.
- Llama 3.1 NIM mikro hizmeti, LLM ajanını destekler.
Gömme ve çekme süreci için RAG:
- embed-qa-4 modeli NIM mikro hizmeti, gömme işlemi için NVIDIA NeMo Retriever‘dan gelir.
- rerank-qa-mistral-4b modeli yeniden sıralama için NeMo Retriever’dan gelir.
- NVIDIA Audio2Face NIM bu projede, Unreal Engine 5.4’te render edilen varsayılan bir Metahuman yüzünü animasyonlaştırır.
Özellikle, kendi kendine barındırılan NIM mikro hizmetleriyle yapılan çıkarım çağrıları, yaygın API standardı nedeniyle cloud tabanlı uç noktalarla kolaylıkla değiştirilebilir. Bu, farklı model API uç noktalarını test etmek için hafif bir yol sağlar.
Bütün bu mimarinin entegrasyonunun sonucu, SOC analistlerinin görevlerini kolaylaştıran akıllı bir güvenlik ko-pilotudur. Şimdi, bu iş akışının ne kadar zaman ve tekrarlayıcı iş gücünden tasarruf sağladığını gösteren bir senaryoyu tartışalım.
Ko-Pilot Devrede
Bir SOC analisti olarak, june@domain.com e-posta adresine sahip kullanıcının alışılmadık miktarda outbound ağ trafiği gösterdiği bir uyarı ile karşılaştığınızı hayal edin.
Öncelikle, iç ağ trafiği veritabanınızı kontrol edersiniz. Sıkı sorgu dili kuralları yazarak aradığınız parametreleri belirtmelisiniz, örneğin zaman çerçevesi.
Sorgunuzu oluşturduktan ve çalıştırdıktan sonra, bir tekrarlayan hedef URL görüyorsunuz. Bu URL’yi, örneğin VirusTotal gibi bir kötü amaçlı yazılım tespit aracına giriyorsunuz. URL, tarihsel olarak bilinen bir kötü niyetli aktöre ait olduğu için bu uyarının gerçek bir pozitif olduğunu sonucunu çıkartırsınız.
Gördüğünüz gibi, SOC analisti, çok sayıda göstergeyi ve veri modeliyle birden fazla panoyu tekrarlayarak yönetmek zorunda kalmaktadır. Bu tür görevler otomasyondan faydalanabilir.
Bu olaylar dizisi, ko-pilota sözlü bir talepte bulunularak gerçekleştirilebilir: “Lütfen kullanıcı june@domain.com konusunda ek bir bilgi verir misin, bu kullanıcı ihlal edilip edilmedi?”
LLM ajanına insan analistlerin kullanacağı tüm iç ve dış verilere erişim verildiği için, analist, soruşturmayı gerçekleştirmek için en mantıklı yolu kendisi belirleyebilir ve bu soruşturma için gerekli kanıtları toplayabilir.
Siber güvenlik söz konusu olduğunda, riski olabildiğince düşük tutmak önemlidir, zira siber tehditlerin büyük etkisi olabilir. LLM, herhangi bir sonuca ulaşmaz; bunun yerine ortaya çıkardığı delilleri insan analistine sunar. SOC analisti daha sonra nihai bir karar verebilir veya daha fazla sorgulayabilir. Örneğin, “Başka kullanıcılar da benzer ihlal belirteçleri gösteriyor mu?” gibi bir soru yöneltebilir.
Amacımız, SOC analistlerinin verimliliğini artırarak daha karmaşık ve yaratıcı siber saldırıları tespit etmelerine ve bunlarla başa çıkmalarına olanak tanımaktır. Doğal dil sorgulama özgürlüğü, katı, kurallara dayalı arama oluşturma zorunluluğunu ortadan kaldırır ve ayrıntılı sayısal verileri yorumlama süresini azaltır.
Klavye kullanımına ihtiyaç duyulmadan sağlanan konuşma etkileşimi, her etkileşimi hızlandırmaktadır.
Ko-pilotun bir diğer amacı ise kullanıcı güvenini artırmaktır. Tamamen olay tetiklemeli ve otomatik bir yürütme zincirine kıyasla, son kullanıcı her adımda LLM’nin akıl yürütmesini kontrol edebilir ve sorgulayabilir. Ayrıca, NVIDIA ACE Audio2Face NIM mikro hizmeti ile etkileşimler, yüz ifadeleriyle iletişim katmanı ekleyerek sezgisel bir deneyim sunar.
Bu yazının bir örneği olarak, bir kullanıcının dijital ajansla birbirini takip eden bir tartışma gerçekleştirebileceğini gösteriyoruz, sanki bir ekip olarak sorun çözüyorlarmış gibi (Video 1). Bu şekilde, AI ile güvenlik operasyon merkezini dönüştürüyoruz.
Gelecekte, belirli veri kaynaklarının entegrasyonunu kolaylaştırmayı ve mevcut asenkron veri havuzlarını gerçek zamanlı olay tetiklemeli işlemler haline getirmeyi umuyoruz.
NVIDIA iç Tespit Operasyonları ekibiyle iş birliği içinde, bu iş akışının kullanıcılar için en faydalı ve sezgisel olduğu alanları belirlemeye çalışıyoruz.
NVIDIA Morpheus ile Başlarken
Morpheus dijital parmak izi, bu projede görüldüğü üzere, son kullanıcılar ve cihazlar üzerinde sıfır güven anomali tespiti için %100 veri görünürlüğü sağlar.
Bu kontrol listesi ve çok adımlı ajanik RAG iş akışı, Morpheus’un güvenlik zafiyeti analizi AI iş akışı tarafından sağlanan mimariye dayanıyor. Bu iş akışı, kod sürümlerinde yaygın zafiyetlerin ve maruz kalmaların otomatik olarak taranmasını sağlamak için oluşturulmuştur.
Temel olarak, çoklu sektörler ve kullanım durumları için kolaylıkla adapte edilebilen, paralel çıkarım ile iteratif karmaşık akıl yürütme için bir referans mimarisi sunuyor.
NVIDIA Morpheus ile güçlü siber güvenlik boru hatları ve karmaşık ajanlık iş akışları oluşturun.
Daha fazla bilgi için şu kaynaklara göz atabilirsiniz:
- Morpheus Siber Güvenlik
- AI Tabanlı Siber Güvenlik Boru Hatları Oluşturma (artı daha fazla eğitmenli eğitim ve kişisel eğitim)
- NVIDIA API Kataloğu (test ve kendi kendine barındırma için NVIDIA NIM mikro hizmetleri)
- Dijital İnsan Güvenlik Analisti GitHub repo
