TokyoBlackHatNews

gbhackers.com 5分で読了

マイクロソフト研究所: AIは現実的なコマンドラインとプロセステレメトリーを生成できる

人工知能がいかに現実的なコマンドラインデータとプロセステレメトリーを生成できるかを示す新しいアプローチであり、セキュリティチームが脅威検出システムを構築・テストする方法を潜在的に変革します。

ログとテレメトリーは最新のサイバーセキュリティリスクを構成し、エンドポイントおよびクラウド環境全体の脅威検出、インシデント対応、およびフォレンジック調査を支えています。

しかし、高品質の攻撃テレメトリーの収集は依然として大きな課題のままです。実世界のデータセットは良性のアクティビティが支配的であり、悪意のあるイベントはまれであり、キャプチャが困難であり、制御された環境で再現するのに費用がかかります。

セキュリティチームは攻撃者の行動を検出するために詳細なログに依存していますが、これらのデータセットを構築することは複雑です。組織は攻撃をシミュレートし、悪意のあるアクティビティにラベルを付け、攻撃チェーン全体を再構築する必要があります。これは時間がかかり、費用がかかる取り組みです。

その結果、検出エンジニアリングはしばしば遅くなり、ルールベースのシステムとAI駆動型の検出システムの両方が限定的なトレーニングデータに悩まされています。

マイクロソフトの研究者は別のパスを提案しています:攻撃者の行動に基づいて合成的でありながら現実的なセキュリティログを生成するためにAIを使用すること。

実世界のテレメトリーのみに依存する代わりに、システムは敵対的な戦術、技術、および手順(TTPs)を構造化されたログデータに変換します。

AIは現実的なコマンドラインを生成できる

研究の核心には単純なアイデアがあります:攻撃者の意図をマシンが読める形式のログに変換すること。

システムはMITRE ATT&CKのようなフレームワークからの入力を取り、特定の攻撃者アクションと組み合わせます。例えば、間接的なコマンド実行(T1202)などの隠蔽技術は、「forfiles.exe」のようなツールと難読化されたコマンドを使用する可能性があります。

Image

その後、AIはコマンドライン引数、プロセス名、親子関係を含む対応するテレメトリーを生成します。

目標は実ログを正確にコピーすることではなく、実攻撃データのように動作し、検出システムを効果的にトリガーできる意味論的に正確なエントリーを作成することです。

マイクロソフトは合成ログを生成するための3つの方法を評価しました:

  • プロンプトエンジニアリング生成は構造化されたプロンプトを使用してAIモデルを攻撃シナリオガイドします。その後、判定者として機能する別のモデルを使用した評価が行われます。
  • エージェント型ワークフローは複数のAIエージェント(ジェネレーター、評価者、改善者)を導入し、ログを反復的に改善し、複雑な攻撃チェーンの精度を大幅に向上させます。
  • 検証可能な報酬を使用した強化学習(RLVR)は、生成されたログをグラウンドトゥルースと比較し、類似性と正確性に基づいて部分的な報酬を割り当てることで、現実性をさらに向上させます。
Image

これらの中で、エージェント型ワークフローは最も一貫した改善をもたらし、特に推論能力のあるモデルと組み合わせた場合です。

合成テレメトリーは従来のラボシミュレーションに比べていくつかの利点があります:

  • 機密データの露出を排除します。
  • 稀または新興の脅威のシミュレーションを可能にします。
  • 検出開発とテストを高速化します。
  • 環境全体での再現可能な実験をサポートします。

ラボテストの完全な代替ではありませんが、合成ログは初期段階の検出設計を加速し、実際の攻撃を実行する運用負担なしにカバレッジを拡大できます。

  • LLM‑as‑a‑Judgeは以下のように合成データをグラウンドトゥルースログと比較します。  
  • モデルは意味的アライメントに基づいて部分的な報酬のみを付与し、生成された文字列がグラウンドトゥルースログの正確な一致でない場合はペナルティを課します。これにより、学習プロセスをガイドするより文脈認識的で柔軟な報酬シグナルが生成されます。
Image

研究は制御された攻撃シミュレーション、オープンソースセキュリティデータセット、およびATLASv2のような多段階攻撃環境を含む複数のデータセットを使用してこれらのアプローチを評価しました。

パフォーマンスは再現率を使用して測定され、生成されたログが予想される攻撃動作とどの程度一致したかに焦点を当てました。

結果は、プロンプトベースの方法はベースラインを提供しますが、一貫性に欠けることを示しています。対照的に、エージェント型ワークフローは再現率と忠実度を大幅に向上させ、正確なコマンドラインとプロセス関係を含む実テレメトリーに密接に類似したログを生成します。

強化学習アプローチは有望ですが、本番レベルの精度に達するには大量のラベル付きデータが必要です。

Microsoft Defenderの顧客にとって、このイノベーションは検出エンジニアリングを合理化し、対応能力を向上させることができます。

オンデマンドで現実的な攻撃テレメトリーを生成することにより、組織はコストのかかるラボ環境に依存することなく、幅広い脅威に対する防御をテストできます。

最終的に、AI駆動型の合成ログは、より速く、より安全で、より拡張可能な検出開発を可能にすることで、セキュリティチームが進化する脅威に先んじるのを支援する可能性があります。これはサイバーセキュリティデータがどのように作成・使用されるかにおける重大な転換を示しています。

翻訳元: https://gbhackers.com/ai-can-generate-realistic-command-line/

ソース: gbhackers.com
#AI #Microsoft Defender #MITRE ATT&CK #セキュリティ研究 #プロセステレメトリー #合成ログ生成 #強化学習 #攻撃シミュレーション #検出エンジニアリング #脅威検出

関連記事

ハッカーがHWMonitorを乗っ取ってマルウェアDLLをサイドロードする

GitLabのセキュリティ脆弱性がクロスサイトスクリプティングと未認証DoSを許可

Amazonクイックのセキュリティ欠陥により、制限されたユーザーがAIチャットエージェントにアクセス可能に