Google Security Operations: Agents AI pour la sécurité informatique

Google Security Operations (SECOPS) Il représente un changement de paradigme dans le secteur de la cybersécurité, proposant une approche intégrée qui consolide les caractéristiques traditionnelles de la SIM, du SOAR et de l'intelligence sur les menaces dans une seule plate-forme. La solution, construite sur le'Infrastructure hyperscale de Google, permet aux clients de centraliser toutes les données de sécurité et de les garder disponibles pendant au moins un an, garantissant ainsi une base solide pour les activités d'enquête.

Dans un webinaire, intitulé « AIATIC IA pour la sécurité: transformer la détection et la réponse des menaces avec les Gémeaux », Wendy Willner, Le chef de produit, Google Security Operations a expliqué que « la plate-forme se distingue par sa nature native du cloud, ce qui le rend plus pratique et évolutif que les solutions traditionnelles. Toutes les activités de SECOPS à partir du travail d'investigation se déroulent vers le tableau de bord, de la déclaration aux cas de gestion – sont effectués par un seul lieu de travail ».

Opérations de sécurité Google: Gestion intelligente des données et de l'intelligence sur les menaces

L'un des aspects les plus innovants de Google Secops est sa capacité de gestion complète des données. « La plate-forme propose des pipelines avancés qui permettent aux clients d'acquérir, d'installer, de filtrer, de rédiger ou de transformer facilement des données en fonction de leurs besoins spécifiques », a déclaré Willner.

L'intelligence sur les menaces représente un élément distinctif de la solution. « Google Secops intègre l'accès unique de Google aux informations de sécurité et applique l'intelligence et le crowdsourcing bien entretenus à partir de sources Google, y compris Mandiant et Virustotal, directement à l'environnement du client – a déclaré Willner. Cette intelligence est constamment comparée à la télémétrie du client, montant également jusqu'à une année précédente, pour identifier les compromis ou les indicateurs des indicateurs des indicateurs des indicateurs des indicateurs des indicateurs de » Conoders of Indicateurs « .

Les correspondances prédisent des relations détaillées qui expliquent ce qu'un indicateur spécifique fait, ses relations et pourquoi elle est considérée comme nuisible, accompagnée d'une partition de Google Thret Intelligence (GTI) pour indiquer leur gravité.

Contenu organisé et détection avancée

L'équipe d'experts de Google a développé et entretient plus de 4 000 règles de détection avec une attention à une grande variété de menaces, du cloud aux menaces sur site et aux avis d'EDR. « Le contenu Hub fournit une position unique pour gérer tout le contenu bien tendu, y compris les requêtes de recherche prédéfinies, le tableau de bord pour la conformité, le DLP, le cloud, l'EDR et le réseau, la réponse Playbook et l'automatisation – Willner. pack de contenu Ils représentent une innovation importante, permettant aux utilisateurs d'installer et de distribuer en quelques clics de tout ce dont vous avez besoin pour une technologie ou un cas spécifique d'utilisation, de l'acquisition de données à la réponse et à l'assainissement « .

L'évolution de l'IA en quatre phases

Pendant le webinaire, le chef de produit, Google Security Operations a illustré la feuille de route évolutive de l'intelligence artificielle dans le SECOPS articulé en quatre phases distinctes:

1. Manuel: Toutes les activités ont été guidées par les humains, en identifiant les menaces à l'action.
2. Assisté (Phase actuelle): Les humains guident toujours les workflows, mais l'IA les aide, par exemple en résumant les cas ou en générant des recherches pour accélérer les opérations.
3. Semi-autonome: L'IA commence à prendre des décisions avec la sécurité, avec une supervision humaine, inversant le modèle traditionnel.
4. Autonome (Vision future): L'IA entreprend des actions de bout en bout pour les activités SECOPS, avec le contrôle humain, la supervision et l'auditabilité.

Agents AI: L'avenir de la sécurité informatique

Dans le contexte de SECOPS, Google définit un agent pour comment Un état stable des processus qu'un modèle de langue large entreprend à atteindre un objectif spécifique. « Un agent analyse un problème, inclut son objectif et utilise ses outils pour effectuer le plan – expliqué Willner. Google Secops a commencé à construire des agents pour la zone de triage et a des avis.

Cas d'étude: l'agent d'investigation en action

Un exemple concret de l'efficacité de l'agent est représenté par l'étude d'un avis relatif à «Plink RDP tunneling vers un hôte externe« . » L'agent Gemini a classé l'avis comme une grande gravité avec une confiance élevée, résumant l'activité (tunneling RDP, activité APT potentielle, mouvement latéral) et détaille ses étapes d'investigation – a expliqué Willner. Les étapes incluent l'analyse de hachage avec Mandiant et Virustotal, la création et l'exécution de requêtes personnalisées pour collecter des informations sur l'utilisateur et sur l'hôte intéressé, et l'analyse des lignes de commande pour identifier les activités nuisibles telles que le tunnel SSH inversé. L'agent a également analysé l'IP externe, reconnaissant quand les informations sur l'intelligence sur les menaces étaient contradictoires et indiquant la nécessité de nouvelles enquêtes humaines « .

Agents AI en sécurité, perspectives futures

Google explore la construction de plusieurs agents pour des cas d'utilisation au-delà du triage d'avis, tels que La chasse aux logiciels malveillants et l'ingénierie de détection. «L'entreprise étudie également comment intégrer ses agents à d'autres outils et comment permettre aux utilisateurs de créer leurs agents ou d'intégrer ceux existants – a ajouté Willner. « Cette évolution représente la vision de Google pour la transformation du SOC, l'IA entraînant les cycles de sécurité de la sécurité pour des résultats positifs, visant à télécharger autant de travail que possible des opérateurs humains tout en conservant le contrôle et la supervision nécessaires ».