AI SOC の内側:Swimlane が MTTR を半分に短縮した方法
続きを読む
AIエージェントでマルチソースインテリジェンスをマスターする方法
このブログ記事は、SwimlaneのエキスパートAIエージェント群に関するシリーズの第2弾で、Hero AI脅威インテリジェンスエージェントを紹介します。このエージェントは、複数の脅威インテリジェンス(TI)ソースからの矛盾するスコアや判定を手動で調整するという時間のかかるプロセスを排除することで、TI相関の問題をどのように解決するかを説明します。エージェントはインテリジェンスを集約・統合し、信頼度加重評価による統一された評価を生成します。一貫性があり説明可能な推論を機械速度で適用することで、エージェントは、SOC内でのケース処理を、時間のかかる人間の判断に頼ったものから、自律的でデータ駆動型の意思決定へと移行させます。.
もしあなたが セキュリティオペレーションセンター(SOC), あなたもこのシナリオを経験したことがあるでしょう。アラートが発報され、アナリストはまず情報収集に取り掛かります。VirusTotalでハッシュ値をチェックし、Recorded Futureでキャンペーンのコンテキストを確認します。Cisco UmbrellaでDNS履歴も確認します。さらに、社内のTIフィードやISACメンバーシップといった情報源も利用しているかもしれません。それぞれの情報源は独自のスコアリング、フォーマット、判定結果を示し、しかも半分は互いに矛盾しています。.
アナリストはいつものように、6つのタブを開き、経験と直感に基づいて結果を頭の中で吟味し、判断を下す。このプロセスは指標ごとに15分から30分かかり、結論に至る「方法論」は完全にアナリストの頭の中に留まる。夜帰宅したり会社を去ったりすると、その推論も一緒に消えてしまう。.
これは 脅威インテリジェンス (TI)相関問題は、私がセキュリティ業界に携わるようになってからずっと存在しています。課題は脅威インテリジェンスへのアクセスではなく、それを迅速かつ大規模に理解することでした。 ヒーローAI脅威インテリジェンスエージェント SwimlaneのAIエージェント群の中で最も実用的なエキスパートエージェントの1つは、 タービンプラットフォーム. 単にTIソースを照会するだけではありません。それらを関連付け、統合し、ケース内で直接統一された分析結果を生成するため、アナリストは6つのタブを開いて祈るのではなく、説明可能な単一の評価結果を得ることができます。.
複数ソースの脅威インテリジェンスにおける推論上の問題点
複数の情報源から得られたTI(脅威情報)の相関関係を人間が判断するのが難しい理由はここにあります。それは単なるデータの問題ではなく、推論の問題なのです。VirusTotalで検出率が3/72のファイルが表示され、Recorded Futureで関連IPアドレスが既知のAPTキャンペーンに関連付けられているとフラグが立てられ、Umbrellaでドメインが2日前に登録されたと表示された場合、どう対処すればよいでしょうか?各データポイントは断片です。重要なのは、それらをどのように重み付けし、関連付けるかです。.
御社のシニアアナリストは、この点において非常に優れています。彼らは長年の経験を通して、どの指標タイプにおいてどの情報源がより信頼できるか、矛盾するスコア間のギャップをどのように読み取るか、そして検出数が少ない場合が多い場合よりも実際には懸念すべき場合などについて、直感を磨いてきました。こうした推論は非常に貴重ですが、ほとんど文書化されることはありません。.
自律相関の力
これは、熟練したAIエージェントが得意とするパターンです。エージェントが優秀なアナリストよりも賢いからではなく、あらゆる指標に対して、常に機械のスピードで一貫した推論を適用できるからです。午前2時に疲れることもありません。アラートが200件も溜まっているからといって、情報拡充の手順を省略することもありません。そして何よりも重要なのは、その処理過程を明確に示すことです。アナリストが出力結果を確認する際に、エージェントが各情報源をどのように評価し、どのような結論に至ったのかを正確に把握できるのです。.
その ヒーローAI Threat Intelligence Agentは、設定済みのすべてのTIソース(VirusTotal、Cisco Umbrella、Recorded Futureなど、統合済みのあらゆるソース)からデータを集約し、ケースファイルに直接、ソース横断的な統合分析結果を表示します。タブ切り替えも、複雑な思考作業も不要です。分析理由が明確に示された、統合されたビューで結果を確認できます。.
SwimlaneのCISOであるMichael Lyborg氏は、社内SOCでの活用方法を説明する際に、このエージェントを「脅威インテリジェンスのゲームチェンジャー」と評しました。このエージェントが実務担当者の間でこれほど大きな反響を呼んでいる理由は、誰もが認識していながらも明確な解決策がなかった問題を解決しているからだと思います。これまで脅威インテリジェンスプラットフォーム、脅威インテリジェンスフィード、脅威インテリジェンスアグリゲーターは存在していましたが、相関分析と統合のステップは常にアナリストの手に委ねられていました。このエージェントは、そのステップをワークフロー自体に組み込むものです。.
Hero AI脅威インテリジェンスエージェントのご紹介
Hero AI脅威インテリジェンスエージェントは、私が掘り下げたい2番目のエージェントです( MITRE ATT&CK & D3FEND エージェント (このシリーズの最初の記事で説明したとおりです。)MITREエージェントが攻撃と防御の記述方法を標準化するのに対し、TIエージェントはインテリジェンスの統合方法を標準化します。これら2つが連携することで、他のすべての意思決定の基盤となるコンテキストレイヤーが形成されます。.
脅威インテリジェンスAIエージェントの仕組み
実際の動作は以下のとおりです。ケースが作成されたり、インジケーターの強化が必要になったりすると、TIエージェントは、お客様の環境に接続されているすべての脅威インテリジェンスソースに自動的にクエリを実行します。評判データ、キャンペーンの関連付け、過去の目撃情報、ドメイン登録の詳細、行動分析など、各ソースが提供するあらゆる情報を取得します。そして、アナリストが解析するために6つの生データをケースに投入するのではなく、それらを統合して単一の分析結果にまとめます。.
重要なのは、その総合的な分析です。エージェントは単にスコアを平均したり、最も高いスコアを選択したりするだけではありません。複数の情報源を横断的に分析し、検出率、情報源の信頼性、指標の種類、時間的文脈、キャンペーンとの関連性などを考慮して、十分な知識を持つアナリストがすべての情報源を徹底的に検証した場合に導き出すであろう結論を反映した評価を生成します。決定的な違いは、エージェントがすべての指標について、毎回わずか数秒でこの分析を実行することです。.
これは他のヒーローAIエージェントに直接フィードバックされます。 評決エージェント TIエージェントの出力、過去の事例のコンテキスト、およびナレッジベース(KB)の記事を使用して、処分結果を生成します。 調査員 それを使ってエンドツーエンドの調査計画を構築する。 MITREエージェント 攻撃手法をマッピングします。各エージェントはそれぞれの役割を果たし、その出力を次のエージェントに送ります。その結果、ほとんどのSOCが手動で作成するケースファイルよりも、より豊富で一貫性のあるケースファイルが作成されます。これはAIが魔法のようなものではなく、手順を省略しないからです。.
定量的確実性:ヒーローAI信頼度スコア
私が話すときにいつも強調していることの1つは SOCにおけるAI 説明可能性が重要です。エージェントが「これは悪意のあるものです」と言うだけでは不十分です。 なぜ その結論に至った経緯、情報源の貢献度、それらの重み付け、そして意見の相違点などが明確に示されていないと、単に一つのブラックボックス(アナリストの直感)を別のブラックボックス(モデルの出力)に置き換えているだけになってしまいます。.
Hero AIエージェントの信頼度スコアは、この問題に直接対応しています。TIエージェントは、二者択一の良し悪し判定や、単一の不透明なリスク数値を返すのではなく、情報源間の合意度、データの質と最新性、そして結論に至った具体的な推論過程を反映した、信頼度加重評価を生成します。.
これは運用面でいくつかの点で重要です。まず、アナリストが指標にどれだけの注意を払う必要があるかを迅速に判断できる手段となります。.
- 確信度が高く、明らかに悪意のある行為でしょうか?Verdict Agentはおそらく自動的に処理を完了できるでしょう。.
- 情報源が矛盾していて、信頼性が中程度の場合?アナリストが調査すべきであり、論理が明確であるため、どこに注目すべきかを正確に把握できる。.
- 信頼度が低い?エージェントは、判断ミスではなく、より多くのデータが必要であると判断する。.
第二に、そしてこれはセキュリティリーダーが過小評価しがちな点だと思うのですが、信頼度スコアリングによって、TIプログラムの有効性を測定可能なベースラインとして確立できます。時間の経過とともに、エージェントの高信頼度評価が実際の結果とどの程度一致するかを追跡できます。どのTIソースがノイズではなく、一貫してシグナルを提供しているかを特定できます。どのフィードを更新する価値があり、どのフィードが価値のない量の増加にしかならないかについて、データに基づいた意思決定を行うことができます。これこそが、ベンダーのスライド資料ではなく、エビデンスに裏付けられたTIプログラム管理です。.
脅威インテリジェンスのパラドックスと、インテリジェントエージェントがその方程式を変える理由
TIエージェントは、 AIエージェント SOCでの地位を勝ち取る。.
従来の脅威インテリジェンスのアプローチは、フィードを増やし、情報源を統合し、分析担当者を増員して結果をレビューするという、いわば積み重ね式です。しかし、問題は、新しい情報源が増えるごとにシグナルとノイズの両方が加わり、相関関係の分析という負担がすべて人間にのしかかることです。ある時点から、チームが既に持っている情報を処理しきれなくなるため、フィードを追加することの限界価値はマイナスに転じてしまいます。.
AIエージェントは、この方程式を逆転させます。入力が増えることで作業量が増えるのではなく、入力が増えることでより良い合成が可能になります。エージェントに接続するTIソースが増えるほど相関性が高まり、信頼度スコアの精度が向上します。エージェントは、インテリジェンスプログラムが成長するにつれて性能が向上します。これは、人間が手動で相関分析を行う場合とは正反対の現象です。.
先進的な信頼構築のためのAIエージェントネットワークの力
私が「エージェントのシンフォニーを構築する」と言うとき、それは各エージェントが時間とともに影響力を高めていくという意味です。TIエージェントはまず、統合された分析結果を、アナリストが導き出したであろう結論と並べて表示します。ベンチマークを設定し、比較検討することで、信頼を築いていきます。一貫性が証明されるにつれ、アナリストがすべての指標をレビューすることなく、ケースをより充実させるエージェントを信頼するようになります。最終的には、信頼性の高い出力がVerdictエージェントを介して自動判定に直接反映され、チームは人間の判断を必要とする曖昧なケースに時間を費やすことができるようになります。.
これは、脅威インテリジェンスに適用された先進的な信頼です。そして、攻撃言語を標準化するMITREエージェントと、ツールが既にカバーしている範囲を示すD3FENDマッピングを組み合わせることで、より迅速に対応できるだけでなく、ほとんどのチームが手動では達成できないレベルの一貫性とドキュメントを備えたSOCが実現します。.
次回の記事では、Verdict Agentと、説明可能なAIによる判決処理が実際にどのように機能するのかを詳しく解説します。事件を自律的に解決することは、指標を強化するよりもはるかに大きな賭けとなるため、まさにそこでプログレッシブ・トラスト・モデルが真に試されるのです。どうぞお楽しみに。.
脅威インテリジェンスの手動相関分析を停止する
アナリストは、6つの脅威インテリジェンスツール間の統合レイヤーであるべきではありません。SwimlaneのHero AI脅威インテリジェンスエージェントは、環境内のあらゆるソースからのインテリジェンスを集約、統合、評価し、6つのタブと推測ではなく、説明可能な単一の評価結果をチームに提供します。.
要約:ヒーローAI脅威インテリジェンスエージェント
Hero AI脅威インテリジェンスエージェントは、専用に構築されたAI自動化機能を活用し、複数の脅威インテリジェンス情報源からの矛盾する判定やスコアを手動で調整するという、時間のかかるプロセスを排除します。このエージェントは、接続されているすべてのフィードからデータを集約・統合し、信頼度加重評価を統一的に生成することで、あらゆる結論に対する明確な推論プロセスを提供します。一貫性のある説明可能な推論を機械の速度で適用することで、インテリジェンス統合を人間の判断に頼るのではなく、データに基づいた確実性へと移行させます。成長を続けるエキスパートエージェント群の2番目として、この脅威インテリジェンスエージェントは、判定エージェントを介して自律的な事件処理に必要な高信頼度コンテキストを提供し、一貫性を向上させ、SOCワークフロー全体を高速化します。.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español