Framework LLM automatizza rilevamento e risposta alle minacce nei SOC
Un nuovo framework end-to-end per i Security Operations Center (SOC) integra rilevamento basato su ensemble, generazione di query vincolate dalla sintassi e supporto alla risoluzione potenziato da retrieval. Il modulo di rilevamento combina tre grandi modelli linguistici (LLM) in un ensemble, raggiungendo un'accuratezza dell'82,8% con un tasso di falsi positivi dello 0,120 sui log SIEM. L'architettura SQM (Syntax Query Metadata) genera query eseguibili per IBM QRadar e Google SecOps utilizzando vincoli di sintassi specifici della piattaforma e prompting basato sulla documentazione. Il framework affronta le sfide derivanti dal crescente volume di minacce e dalle piattaforme SIEM eterogenee automatizzando i flussi di lavoro critici per la sicurezza.
Fatti principali
- Il framework integra rilevamento ensemble, generazione di query e supporto alla risoluzione.
- L'ensemble di tre LLM raggiunge un'accuratezza dell'82,8% e un tasso di falsi positivi dello 0,120.
- L'architettura SQM genera query per IBM QRadar e Google SecOps.
- Automatizza la raccolta di prove con vincoli di sintassi specifici della piattaforma.
- Affronta le crescenti sfide dei SOC dovute al volume di minacce e ai SIEM eterogenei.
- Utilizza supporto alla risoluzione potenziato da retrieval.
- Combina classificatori ML tradizionali e LLM nel modulo di rilevamento.
- Pubblicato su arXiv con ID 2604.27321.
Entità
Istituzioni
- IBM
- arXiv