AIを使用してクラウドセキュリティの脅威を管理する方法

プロダクトマーケティングディレクター

クラウドディフェンダーは常に急速に変化するセキュリティ脅威に直面しています。コンテナ、Kubernetes、クラウドサービス、アイデンティティから信号が流れ込み、セキュリティチームは何度も同じ質問を繰り返しています。

これらすべてのアラートは何を意味するのか？
どれが同じインシデントに関連しているのか？
何がリスクにさらされているのか？
次に何をすべきか？

アナリストが生のアラートに溺れるのではなく、インシデントレベルで対応できるようにするために、Sysdig Secureの脅威管理は関連する高信頼度のランタイムイベントを単一の実行可能なセキュリティインシデントに統合します。Sysdig Sage™はその経験をさらに一歩進め、AI生成の脅威要約と会話型アシスタントを提供し、チームがより速く理解して対応できるようにします。

脅威管理のためのAIアシスタンス

脅威用Sysdig Sageは、Sysdig Secureの脅威モジュールへのAI搭載の拡張機能です。記録された各脅威を以下で充実させます。

AI生成されたタイトルは、脅威の平易な言語での説明を提供します。
3点の要約は、何が起こっているのか、なぜそれが重要なのか、そして誰または何が影響を受けているのかを説明します。

クラウド脅威トリアージを改善する3つの要点

AI生成の要点は、3つの主要な質問に答える動的に生成されたインサイトと考えることができます。

何が起こっているのか？
なぜそれが重要なのか？
誰または何が影響を受けているのか？

クラウドディフェンダーには時間を無駄にする余裕はありません。疑わしい動作または攻撃パターンの簡潔な説明、および関係するクラスタ、クラウドアカウント、またはアイデンティティなどのスコープを持つことで、チームは問題の優先順位を付けて迅速に対応できます。　

膨大な数のアラートに対処しているチームの場合、Sysdig Sage要約は脅威を素早くスキャンして以下を決定するのに役立ちます。

これは本番アプリケーションと機密データにとって重大なリスクですか？
これは開発またはテスト環境での無害なアクティビティですか？
このことについてどのチームが知る必要がありますか？

会話による調査：脅威についてのチャット

Sysdig Sageが脅威エクスペリエンスを拡張する2番目の方法は、組み込みチャットアシスタントです。文脈認識機能があるため、どの脅威エントリを表示しているかを知っています。チャットアシスタントを使用して、さらなる脅威の詳細、ルールとイベントの説明、関連するランタイムイベントのリスト、影響を受けたリソースの表示、および対応と強化のための次のステップの提案を求めることができます。　

以下は、チームが脅威ワークフローを加速するためにチャットを使用できる具体的な方法です。

平易な言葉で脅威を説明する

各脅威について生成された3つの要点は、簡潔な概要を提供します。時々、あなたはもっと知りたいのです。自然言語を使用して、シンプルな質問から始めて、学ぶにつれてフォローアップで掘り下げることができます。「この脅威についてもっと教えてください」などの簡単なプロンプトでSysdig Sageに詳細を求めることができます。

文脈認識により、Sysdig Sageはあなたが表示している脅威を知っており、AI生成の要約を拡張します。Sysdigプラットフォームの情報を統合し、さらに、その背後にあるAIモデルからの知識の豊富さから引き出します。この情報を武装して、それはアクティビティの物語的説明、関係する技術、およびそれが重要な理由を返します。

アラートをトリガーしたもの、および攻撃者が実行している戦術を理解するには、「このルールと攻撃者が何をしようとしているのかを説明してください」と聞くことができます。Sysdig Sageはあなたに貴重なインテリジェンスをもたらします。MITRE ATT&CKフレームワークで概説されている戦術と技術に沿ったインサイトを反映し、チームが重要なシステムを保護するための戦いで先を行くのを支援することができます。　

別のオプションは、Sysdig Sageに既存の脅威をまとめるよう依頼することです。これにより、環境で起こっている懸念される動作のタイプが簡単に読める形式で提供されます。「潜在的な影響に基づいて上位5つの脅威を表示してください」などのプロンプトを使用して、最大のリスクをもたらす問題についてのAIベースの意見を取得できます。

これは以下に理想的です。

脅威フィードに表示される脅威の優先順位付け。
セキュリティ慣行の改善によって対処できる繰り返しの問題を特定する。。
脅威の状況要約をリクエストした経営幹部または利害関係者向けのスケーリング問題。

イベントと脅威の間をナビゲートする

調査はめったに直線的に進みません。疑わしいイベントから始まり、脅威まで上昇することもあれば、脅威から始まり、その背後にある生のイベントに飛び込むこともあります。

Sysdig Sage脅威はチャットを通じてこの双方向の探索をサポートしています。

プロンプト例：

イベントから：「このランタイムイベントはどの脅威に関連していますか？」
脅威から：「どのランタイムイベントがこの脅威に関連していますか？」
調査中：「この脅威についてもっと詳しく教えてください」または「イベントの詳細を展開してください。」

対応して、Sysdig Sageは。

ランタイムイベントが既存の脅威の一部であるかどうかを特定し、その脅威への直接リンクを提供します。
選択された脅威に関連付けられたイベントのリストを取得して表示し、個別のイベント詳細に戻ってナビゲートします。
フィルターをハントして、UIの関連する詳細の展開と検索をサポートするのに役立ちます。

その結果、コンソールの周りをクリックするのに費やされた時間が短くなり、潜在的な攻撃者が何をしているかを実際に理解するのに費やされた時間が増えます。

脅威の影響のスコープを決める

脅威が存在することを知ることは戦いの半分にすぎません。また、スコープと影響も理解する必要があります。

どのクラスタまたはネームスペースが関係していますか？
重要なサービスまたは高感度の環境が影響を受けていますか？
特定のアイデンティティ、ロール、またはクラウドアカウントが関係していますか？

AIは、「この脅威の影響を受けるのは誰/何ですか？」などの簡単な質問でさえここに役立ちます。

Sysdig Sageは、影響を受けたリソースおよびアイデンティティ情報（クラスタ、ホスト、アイデンティティ、クラウドユーザー、またはクラウドサービスなど）をサーフェスして、アナリストがブラストラディウスをすばやく理解して、エスカレートするかどうかを決定できるようにします。

これは、脅威モジュールとSysdig Sageがより広いCNAPPコンテキストと交差する場所です。アシスタントは、脅威を構築するために脅威エンジンが使用した同じエンティティとメタデータを参照でき、実際のランタイム動作に基づいた影響ビューを提供します。

脅威対応のガイダンスを求める

脅威を理解することは、それが行動につながる場合にのみ価値があります。Sysdig Sageは、何が起こっているかを説明するだけでなく、それについて何をするかを理解するのを支援するように設計されています。

Sysdig Secureを通じて、AIは修復と対応のガイダンスを提供します。ランタイムイベントについては、イベントを引き起こしたものを説明し、それを軽減するための次のステップの提案を提供します。脆弱なコンテナイメージについては、AIはステップバイステップの指示を備えた対象を絞った修正を推奨します。脅威ビューからアシスタントを使用する場合も同じ原則が適用されます。

対応に焦点を当てた便利なプロンプトは次のとおりです。

プロンプト例：

「この脅威を止めるために何をすべきですか？」
「この脅威に対応するための選択肢は何ですか？」
「このタイプの脅威を修復および防止するためのステップバイステップのガイダンスを提供してください。」

脅威についてこれらのタイプの質問をすると、Sysdig Sageは以下を実行できます。

ワークロードの分離または再起動、疑わしい認証情報の失効、またはネットワークアクセスの締め付けなどの即座な封じ込めのアイデアを提案する。
IAMポリシーの改善、Kubernetes RBAC、または設定ベースラインなどの硬化と防止ステップを推奨する。
チームが繰り返しインシデントの可能性を減らすために採用すべき慣行についてアドバイスする。

Sysdig Sageは本質的に、以下に使用できるプレイブックを提供します。

即座のアクションを取る
明確なコンテキストでチケットを開く。
他のチームと簡潔で実行可能なガイダンスを共有する

Sysdig Sage脅威を備えた人生の一日

これがどのようにまとまるかを見るために、クラウド脅威レスポンダーの典型的な朝を想像してください。

ログインしてスキャンの脅威。Sysdig Secureの脅威ページを開き、タイトルと要約をレビューして、最も懸念される問題を特定します。
コンテキストを求める。入力：「この脅威についてもっと教えてください。
Sysdig Sageは、検出した動作と危険にさらされているサービスとアカウントをハイライトします。
証拠を詳しく調べる。あなたはそれがどのように始まったかを見たいので、あなたは尋ねます：「どのランタイムイベントがこの脅威に関連していますか？」Sysdig Sageは関連するイベントをリストし、UIで詳細を表示するのに役立ちます。
対応計画を明確にする。「この脅威をブロックするために対応するにはどうすればよいですか？」Sysdig Sageは、即座の対応と長期的な脅威対応を導くためのステップを段階的に説明します。
計画を共有してください。Sysdigで生成されたコンテキストと詳細を使用して、要約を共有し、提案されたアクションを含むチケットを作成することができます。

以前はダッシュボード全体でのピボット、手動のメモ取り、および廊下での会話が必要だったものが、AIアシステッド要約と会話によって駆動される単一の継続的なワークフローになります。

チームにとって重要な理由

クラウドおよびコンテナ脅威に対するSysdig Sage AIアシスタンスは、3つの大きな利点を提供します。

理解までの時間が短い。AI生成のタイトルと3点の要約は、アナリストが生のイベントを解読することなく、脅威が何であるか、なぜそれが重要なのか、および誰が影響を受けるのかを迅速に理解するのを支援します。
会話による調査。Sysdig Sageアシスタントを使用すると、脅威とランタイムイベントの間を流暢に移動し、コンテキスト、影響、および関係について自然言語の質問をすることができます。
組み込まれたガイド付き応答。複数ステップの推論とドメイン固有の知識により、Sageは対応オプション、予防戦略、およびプロセスの改善を提案できます。本質的に、脅威ビューに組み込まれたクラウドセキュリティアナリストのように機能します。

これはすべて、Sysdigが既に提供しているリアルタイムランタイム可視性と脅威検出に基づいており、AIは浅いまたはサイロ化されたデータではなく、高忠度度の信号で機能しています。

はじめに

あなたが既にSysdig Secureを使用している場合、Sysdig Sageを有効にすると、プラットフォーム全体のAIアシスタンスにアクセスできます。顧客でない場合は、私たちに接続してデモをリクエストするか、製品ツアーをチェックしてください。AIを搭載したインサイトが脅威データの壁をいかに速く、検出から対応への明確でガイド付きパスに変えることができるかを見ることができます。

翻訳元: https://webflow.sysdig.com/blog/how-to-use-ai-to-manage-cloud-security-threats