Agente LLM automatizza l'indagine sugli avvisi di sicurezza
Un innovativo processo sperimentale sfrutta i modelli linguistici di grandi dimensioni (LLM) per snellire l'esame iniziale degli avvisi di sicurezza. Questa metodologia, dettagliata nell'articolo arXiv 2604.25846, integra gli LLM con query specifiche e accesso limitato a strumenti, come SQL strutturato per i log di Suricata e ricerche testuali basate su grep. Inizialmente, il sistema esegue query per riassumere i dati disponibili. Successivamente, il componente LLM determina quali query applicare in base al riepilogo, estrae le prove rilevanti dai risultati e, infine, fornisce un giudizio conclusivo. Questa strategia mira a ridurre il tempo che gli analisti dedicano alla correlazione manuale degli avvisi provenienti da varie fonti di log. I risultati indicano che il flusso di lavoro guidato da LLM raggiunge un'accuratezza significativamente maggiore nell'indagare le fonti di log e nel formulare decisioni finali.
Fatti principali
- 1. L'articolo arXiv:2604.25846 presenta un flusso di lavoro agentico per l'indagine sugli avvisi di sicurezza.
- 2. Il flusso di lavoro utilizza LLM potenziati con query predefinite e accesso limitato a strumenti.
- 3. Gli strumenti includono SQL strutturato sui log di Suricata e ricerca testuale basata su grep.
- 4. Il flusso di lavoro integra query per fornire una panoramica dei dati disponibili.
- 5. L'LLM seleziona le query in base ai risultati della panoramica.
- 6. L'LLM estrae prove grezze dai risultati delle query.
- 7. L'LLM emette un verdetto finale sull'avviso.
- 8. I risultati mostrano un'accuratezza significativamente maggiore nei verdetti finali.
Entità
Istituzioni
- arXiv