OpenAI dan Microsoft Sentinel Bahagian 2: Menjelaskan Peraturan Analisis

Selamat datang kembali ke siri kami tentang OpenAI dan Microsoft Sentinel! Hari ini kita akan meneroka satu lagi kes penggunaan untuk model bahasa popular OpenAI dan lihat pada Sentinel REST API. Jika anda belum mempunyai contoh Microsoft Sentinel lagi, anda boleh menciptanya menggunakan akaun Azure percuma dan ikuti permulaan pantas Bermula dengan Sentinel. Anda juga memerlukan akaun OpenAI peribadi dengan kunci API. sedia? Mari mulakan!

Salah satu tugas yang dihadapi oleh pengamal keselamatan ialah cara menggunakan peraturan analisis, pertanyaan dan takrifan dengan cepat untuk memahami perkara yang mencetuskan makluman. Sebagai contoh, berikut ialah contoh peraturan analisis Microsoft Sentinel yang agak pendek yang ditulis dalam Kusto Query Language (KQL):

Pengendali KQL yang berpengalaman tidak akan menghadapi kesukaran Menghuraikannya, tetapi masih memerlukan sedikit masa untuk memetakan kata kunci, sumber log, tindakan dan logik peristiwa secara mental. Orang yang tidak pernah menggunakan KQL mungkin memerlukan lebih banyak masa untuk memahami perkara yang direka bentuk untuk dikesan oleh peraturan ini. Nasib baik, kami mempunyai rakan yang benar-benar mahir membaca kod dan mentafsirnya dalam bahasa semula jadi – GPT3 OpenAI!

Enjin GPT3 seperti DaVinci sangat baik dalam mentafsir kod dalam bahasa semula jadi dan mempunyai latihan yang meluas dalam sintaks dan penggunaan Microsoft Sentinel KQL. Lebih baik lagi, Sentinel mempunyai penyambung OpenAI terbina dalam yang membolehkan kami menyepadukan model GPT3 ke dalam buku permainan Sentinel automatik! Kita boleh menggunakan penyambung ini untuk menambah ulasan pada acara Sentinel yang menerangkan peraturan analisis. Ini akan menjadi Apl Logik yang ringkas dengan aliran operasi linear:

Mari kita lihat Apl Logik, bermula dengan pencetus. Kami menggunakan pencetus peristiwa Microsoft Sentinel untuk buku main ini supaya kami boleh menggunakan penyambung Sentinel untuk mengekstrak semua ID peraturan analitis yang berkaitan daripada acara tersebut. Kami akan menggunakan Sentinel REST API untuk mencari teks pertanyaan peraturan menggunakan ID peraturan, yang boleh kami hantar kepada model AI dalam gesaan penyiapan teks. Akhir sekali, kami akan menambah output model AI ke acara itu sebagai ulasan.

Tindakan pertama kami ialah blok logik "Untuk setiap" yang bertindak pada "Item ID Peraturan Analisis Berkaitan Acara" Sentinel:

Seterusnya, kita perlu gunakan Sentinel REST API untuk meminta peraturan makluman berjadual itu sendiri. Titik akhir API ini didokumenkan di sini: https://learn.microsoft.com/en-us/rest/api/securityinsights/stable/alert-rules/get ?tabs= HTTP . Jika anda tidak pernah menggunakan API Sentinel sebelum ini, anda boleh mengklik butang "Cubalah" berwarna hijau di sebelah blok kod untuk melihat permintaan sebenar menggunakan bukti kelayakan anda. Ini adalah cara yang bagus untuk meneroka API! Dalam contoh kami, permintaan "Dapatkan - Peraturan Makluman" kelihatan seperti ini:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules/{ruleId}?api-version=2022-11-01

Kami boleh membuat panggilan API ini menggunakan tindakan "HTTP" dalam apl logik kami. Nasib baik, item ID peraturan analisis berkaitan peristiwa yang baru kami tambahkan pada blok logik "Untuk setiap" disertakan dengan hampir semua parameter yang telah dipraisi. Kami hanya perlu menambah domain API dengan spesifikasi versi hingga akhir - semua parameter untuk subscriptionID, resourceGroupName, workspaceName dan ruleId akan datang daripada objek kandungan dinamik kami. Teks sebenar blok URI saya adalah seperti berikut:

https://management.azure.com@{items('For_each_related_Analytics_Rule_ID')}?api-version=2022-11-01

Kami juga perlu mengkonfigurasi pilihan pengesahan untuk operasi HTTP - Saya menggunakan identiti terurus untuk apl logik saya. Blok tindakan yang telah lengkap kelihatan seperti ini:

Sekarang kita mempunyai peraturan amaran, kita hanya perlu menghuraikan teks peraturan supaya kita boleh menghantarnya kepada GPT3. Mari gunakan tindakan Parse JSON, berikan kandungan kandungan daripada langkah HTTP dan tentukan skema untuk memadankan output yang dijangkakan bagi panggilan API ini. Cara paling mudah untuk menjana skema adalah dengan memuat naik sampel muatan, tetapi kami tidak perlu memasukkan semua sifat yang kami tidak minati. Saya telah memendekkan skema supaya kelihatan seperti ini:

{"type": "object","properties": {"id": {"type": "string"},"type": {"type": "string"},"kind": {"type": "string"},"properties": {"type": "object","properties": {"severity": {"type": "string"},"query": {"type": "string"},"tactics": {},"techniques": {},"displayName": {"type": "string"},"description": {"type": "string"},"lastModifiedUtc": {"type": "string"}}}}}

Setakat ini blok logik kami kelihatan seperti ini:

Sekarang tiba masanya untuk membiarkan AI adalah terlibat! Pilih "GPT3 Melengkapkan gesaan anda" daripada penyambung OpenAI dan tulis gesaan anda menggunakan objek kandungan dinamik "pertanyaan" daripada langkah Parse JSON sebelumnya. Kami akan menggunakan enjin Resolve terkini dan mengekalkan kebanyakan parameter lalai. Pertanyaan kami tidak menunjukkan perbezaan yang ketara antara nilai suhu tinggi dan rendah, tetapi kami mahu meningkatkan parameter "token maks" untuk memberi model da Vinci lebih banyak ruang untuk jawapan yang panjang. Tindakan yang telah selesai hendaklah seperti ini:

Langkah terakhir dalam buku main kami ialah menambahkan ulasan pada acara menggunakan teks yang terhasil daripada GPT3. Jika anda mahu menambah tugas acara sebaliknya, pilih sahaja tindakan Sentinel. Tambahkan objek kandungan dinamik "ID ARM Acara" dan karang mesej ulasan menggunakan output "Teks (Teks Pelengkap)" oleh tindakan GPT3. Pereka Apl Logik secara automatik membalut tindakan ulasan anda dalam blok logik "Untuk setiap". Tindakan ulasan yang telah selesai sepatutnya kelihatan seperti ini:

Simpan apl logik anda dan mari mencubanya dalam acara! Jika semuanya berjalan lancar, sejarah larian Apl Logik kami akan menunjukkan penyelesaian yang berjaya. Jika sebarang masalah timbul, anda boleh menyemak butiran input dan output yang tepat bagi setiap langkah - alat penyelesaian masalah yang tidak ternilai! Dalam kes kami ia sentiasa tanda semak hijau:

Berjaya! Buku permainan menambah ulasan pada acara itu, menjimatkan penganalisis keselamatan kami yang terlalu banyak bekerja selama beberapa minit.

Atas ialah kandungan terperinci OpenAI dan Microsoft Sentinel Bahagian 2: Menjelaskan Peraturan Analisis. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!