Comment maîtriser le renseignement multi-sources avec des agents d'IA

Comment maîtriser le renseignement multi-sources avec des agents d'IA

Si vous avez passé du temps dans un centre des opérations de sécurité (SOC), Vous avez sûrement déjà vécu cette situation : une alerte est déclenchée et le premier réflexe de l’analyste est de se lancer dans l’enrichissement des données. Il consulte VirusTotal pour vérifier le hachage. Il se tourne ensuite vers Recorded Future pour le contexte de la campagne. Il vérifie l’historique DNS dans Cisco Umbrella. Il dispose peut-être également d’un flux interne de TI ou d’une adhésion à l’ISAC. Chaque source renvoie son propre score, son propre format, son propre verdict, et bien souvent, ces résultats se contredisent.

L'analyste procède donc comme à son habitude : il ouvre six onglets, évalue mentalement les résultats en fonction de son expérience et de son intuition, puis se forge une opinion. Ce processus prend entre 15 et 30 minutes par indicateur, et la “ méthodologie ” qui lui permet d'arriver à cette conclusion reste entièrement dans son esprit. Lorsqu'il rentre chez lui le soir ou quitte l'entreprise, ce raisonnement disparaît avec lui.

Voici le renseignements sur les menaces Le problème de corrélation (TI) existe depuis aussi longtemps que je travaille dans la sécurité. Le défi n'a jamais été d'accéder aux renseignements sur les menaces, mais de les interpréter rapidement et à grande échelle. C'est ce qui rend… Agent de renseignement sur les menaces IA héroïque l'un des agents experts les plus utiles en pratique parmi la flotte d'agents IA de Swimlane au sein de Plateforme de turbine. Il ne se contente pas d'interroger vos sources TI. Il les met en corrélation et les synthétise, produisant une analyse unifiée directement dans le dossier, de sorte que l'analyste obtient une évaluation unique et explicable au lieu de devoir consulter six onglets et espérer un résultat.

Le problème du raisonnement lié au renseignement sur les menaces provenant de sources multiples

Voici ce qui rend la corrélation multi-sources des informations de sécurité si difficile pour les humains : il ne s’agit pas seulement d’un problème de données, mais aussi d’un problème de raisonnement. Lorsque VirusTotal affiche un fichier avec un taux de détection de 3/72 et que Recorded Future signale l’adresse IP associée comme liée à une campagne APT connue, tandis qu’Umbrella indique que le domaine a été enregistré il y a deux jours, comment interpréter ces informations ? Chaque point de données est un fragment. La valeur réside dans la manière de les pondérer et de les relier.

Vos analystes principaux excellent dans ce domaine. Au fil des ans, ils ont développé une intuition aiguisée quant à la fiabilité des sources pour chaque type d'indicateur, à l'interprétation des écarts entre des scores contradictoires et à la pertinence d'un faible taux de détection par rapport à un taux élevé. Ce raisonnement est d'une valeur inestimable, et pourtant, il est rarement consigné par écrit.

Le pouvoir de la corrélation autonome

C’est précisément ce type de situation que les agents d’IA experts maîtrisent parfaitement. Non pas parce qu’ils sont plus intelligents que votre meilleur analyste, mais parce qu’ils appliquent un raisonnement cohérent à chaque indicateur, systématiquement, à la vitesse d’une machine. Ils ne sont pas à bout de souffle, même à 2 heures du matin. Ils ne négligent aucune étape d’enrichissement, même si la file d’attente contient 200 alertes. Et surtout, ils détaillent leur démarche : lorsqu’un analyste examine le résultat, il peut voir précisément comment l’agent a pondéré chaque source pour parvenir à sa conclusion.

Le Héros IA L'agent de renseignement sur les menaces agrège les données de toutes vos sources de renseignement configurées (VirusTotal, Cisco Umbrella, Recorded Future, etc.) et génère une analyse inter-sources unifiée directement dans le dossier. Plus besoin de jongler entre les onglets. Plus besoin de se creuser la tête. Une vue consolidée avec une explication claire.

Michael Lyborg, RSSI de Swimlane, a qualifié cet agent de “ véritable révolution dans le domaine du renseignement sur les menaces ” en expliquant comment son SOC interne l'utilise. Je pense que son succès auprès des professionnels s'explique par le fait qu'il résout un problème bien connu, mais pour lequel aucune solution définitive n'avait été trouvée. Nous disposions déjà de plateformes, de flux et d'agrégateurs de renseignement sur les menaces, mais l'étape de corrélation et de synthèse incombait toujours à l'analyste. Cet agent intègre cette étape directement dans le flux de travail.

Découvrez en avant-première le SoC IA de Swimlane

Présentation de l'agent de renseignement sur les menaces Hero AI

L'agent de renseignement sur les menaces IA héroïques est le deuxième agent que je souhaite examiner en détail (j'ai déjà abordé le premier). Agent MITRE ATT&CK et D3FEND (Dans le premier article de cette série). Alors que l'agent MITRE normalise la description des attaques et des défenses, l'agent TI normalise la synthèse du renseignement. Ensemble, ils constituent la couche de contexte dont dépend toute autre décision.

En savoir plus sur Hero AI

Fonctionnement de l'agent d'IA de renseignement sur les menaces

Voici comment cela fonctionne concrètement. Lorsqu'un cas est créé ou qu'un indicateur nécessite d'être enrichi, l'agent TI interroge automatiquement toutes les sources de renseignements sur les menaces auxquelles votre environnement est connecté. Il extrait les données de réputation, les associations de campagnes, l'historique des observations, les détails d'enregistrement de domaine, l'analyse comportementale, bref, toutes les informations fournies par chaque source. Ensuite, au lieu de fournir six résultats bruts au cas pour que l'analyste les examine, il les synthétise en une seule analyse unifiée.

C'est cette synthèse qui importe. L'agent ne se contente pas de faire la moyenne des scores ni de retenir le plus élevé. Il analyse différentes sources, pondérant les taux de détection, la fiabilité des sources, le type d'indicateur, le contexte temporel et les liens avec les campagnes, afin de produire une évaluation qui reflète la conclusion qu'un analyste chevronné tirerait s'il avait le temps d'examiner minutieusement chaque source. La différence majeure : l'agent effectue cette analyse en quelques secondes, systématiquement, pour chaque indicateur.

Cela alimente directement les autres agents IA des héros. Agent de verdict utilise les données de sortie de l'agent TI, ainsi que le contexte historique du cas et les articles de la base de connaissances (BC), pour générer une décision. Agent d'enquête l'utilise pour élaborer son plan d'enquête de bout en bout. Agent MITRE Le système cartographie les techniques d'attaque. Chaque agent remplit sa fonction, transmet ses résultats, et le résultat est un dossier plus riche et plus cohérent que ceux produits manuellement par la plupart des SOC, non pas grâce à une IA magique, mais parce qu'elle ne saute aucune étape.

Visionnez une démonstration d'une minute de l'agent d'IA de renseignement sur les menaces

Certitude quantitative : le score de confiance de Hero AI

Une des choses que je souligne toujours lorsque je parle de L'IA dans le SOC L'explicabilité est essentielle. Il ne suffit pas qu'un agent dise : “ C'est malveillant. ” Il faut savoir. pourquoi L'étude a permis d'aboutir à cette conclusion, en précisant les sources ayant contribué, leur pondération et les points de désaccord. Sans cela, on ne fait que substituer une boîte noire (l'intuition de l'analyste) à une autre (le résultat du modèle).

Le score de confiance de l'agent Hero AI répond directement à cette problématique. Au lieu de renvoyer un verdict binaire (bon/mauvais) ou un simple chiffre de risque opaque, l'agent TI produit une évaluation pondérée par la confiance, qui reflète le degré de concordance entre les sources, la qualité et la fraîcheur des données, ainsi que le raisonnement précis ayant mené à la conclusion.

Sur le plan opérationnel, cela a plusieurs conséquences. Premièrement, cela permet aux analystes d'évaluer rapidement le niveau d'attention requis pour un indicateur.

• Forte conviction, manifestement malveillante ? L’agent de verdict peut probablement clore le dossier de manière autonome. 
• Vous avez une confiance modérée face à des sources contradictoires ? Un analyste devrait y jeter un œil, et il saura exactement où concentrer ses efforts car le raisonnement est transparent. 
• Faible niveau de confiance ? L’agent signale un besoin de données supplémentaires plutôt qu’une erreur de jugement.

Deuxièmement, et c'est un point souvent sous-estimé par les responsables de la sécurité, l'évaluation de la confiance permet d'établir une base de référence mesurable pour l'efficacité de votre programme de veille technologique. Au fil du temps, vous pouvez suivre la fréquence à laquelle les évaluations à haut niveau de confiance des agents correspondent aux résultats obtenus. Vous pouvez identifier les sources de veille technologique qui contribuent de manière constante à la qualité du signal par rapport au bruit. Vous pouvez prendre des décisions éclairées quant aux flux à renouveler et à ceux qui ne font qu'alourdir le volume sans apporter de valeur ajoutée. Il s'agit là d'une gestion de programme de veille technologique fondée sur des preuves, et non sur des présentations de fournisseurs.

Le paradoxe du renseignement sur les menaces et pourquoi les agents intelligents changent la donne

Permettez-moi de prendre du recul un instant, car l'agent TI illustre un point plus général sur la façon dont agents IA gagner leur place au sein du SOC.

L'approche traditionnelle du renseignement sur les menaces est additive : acheter davantage de flux, intégrer plus de sources et recruter plus d'analystes pour examiner les résultats. Le problème est que chaque nouvelle source ajoute à la fois du signal et du bruit, et que la charge de la corrélation repose entièrement sur les humains. À un certain point, la valeur ajoutée d'un flux supplémentaire devient négative, car votre équipe est incapable de traiter toutes les informations dont elle dispose déjà.

Un agent d'IA inverse cette équation. Au lieu d'accroître la charge de travail, davantage d'entrées permettent une meilleure synthèse. Chaque source d'informations supplémentaires connectée à l'agent renforce la corrélation et affine le score de confiance. L'agent s'améliore à mesure que votre programme d'intelligence artificielle se développe, soit exactement l'inverse d'une corrélation effectuée manuellement par des humains.

Le pouvoir d'un réseau d'agents d'IA pour une confiance progressive

C’est ce que j’entends par « construire une symphonie d’agents », chacun acquérant progressivement une importance accrue. L’agent TI commence par vous présenter son analyse unifiée, ainsi que les conclusions qu’auraient tirées vos analystes. Vous établissez des points de référence, vous comparez, et vous renforcez votre confiance. À mesure que ses résultats se confirment, vous lui faites confiance pour enrichir les dossiers sans qu’un analyste ait à examiner chaque indicateur. Finalement, les résultats les plus fiables alimentent directement le processus de décision automatisé via l’agent de verdict, et votre équipe peut se concentrer sur les cas ambigus qui requièrent un véritable jugement humain.

C'est la confiance progressive appliquée au renseignement sur les menaces. Et si on la combine avec l'agent MITRE qui standardise le langage des attaques et la cartographie D3FEND qui indique ce que vos outils couvrent déjà, on obtient un SOC qui non seulement réagit plus vite, mais aussi avec un niveau de cohérence et de documentation que la plupart des équipes ne peuvent atteindre manuellement.

Dans le prochain article, j'analyserai en détail l'agent de verdict et le fonctionnement concret de l'IA explicable. C'est là que le modèle de confiance progressive est véritablement mis à l'épreuve, car la résolution autonome d'une affaire représente un pari bien plus important que l'enrichissement d'un indicateur. À suivre.