セキュリティ オペレーション センター(SOC)アナリストは、常にアラートの流れを処理することが期待されており、多くの場合、厳しい対応期限の下にあります。
同時に、彼らは正確に調査し、明確に文書化し、技術的および非技術的なステークホルダーに両方の調査結果を伝えることが期待されています。ここで、ChatGPTなどの生成人工知能(GenAI)ツールが役立ちます。
下の表は、L1 SOCアナリストを支援できる10のChatGPTプロンプトへのクイックリファレンスを提供しています。
これらのプロンプトはL1アナリストに役立ちますが、L2/L3アナリストや一般的なインシデント対応(IR)タスクをより理解したいと考えている人もサポートすることができます。
公開AIツールに機密データを入力しないように注意し、これらのプロンプトをAIエージェントに変えて、ワークフローの一部を自動化するのに役立つようにしてください。
| プロンプト # | プロンプトの使用例 | その役に立つこと | SOCで重要である理由 |
| 1 | セキュリティアラートを要約する | アラートデータを要約し、非技術的なオーディエンス向けにアラートデータを変換します。 | L1アナリストがアラートの重要性をトリアージして理解するのに役立ちます。 |
| 2 | 生ログを分析する | ログ内の疑わしい活動、指標、パターンを特定します。 | ログデータの調査に役立ちます。 |
| 3 | トリアージチェックリストを作成する | プレイブックがまだ利用できない場合は、段階的な調査ワークフローを構築します。 | L1アナリストが不慣れなアラートに対応するのに役立ちます。 |
| 4 | ケースノートを作成する | 粗いメモをクリーンなチケットドキュメントに変換します。 | ノートの品質、引き継ぎ、監査可能性の向上に役立ちます。 |
| 5 | エスカレーション概要を書く | L2/3アナリストへの簡潔なエスカレーションを作成します。 | チケットデータの往復を減らすのに役立ちます。 |
| 6 | フィッシングメールを分析する | 疑わしいメールを危険信号についてレビューします。 | アナリストがフィッシングメールの脅威を評価するのに役立ちます。 |
| 7 | MITRE ATT&CKにマップする | 観察された動作をTTPに合わせます。 | L1アナリストが脅威コンテキストとレポーティングを改善するのに役立ちます。 |
| 8 | 脅威ハンティングのアイデアを生成する | 仮説とフォローアップのハンティングパスを提案します。 | 脅威ハンティングに新しいL1/L2アナリストに役立ちます。 |
| 9 | SIEM検出を改善する | 検出ロジック、チューニングのアイデア、および誤検知の考慮事項を提案します。 | 検出カバレッジのサポートに役立ちます。 |
| 10 | エグゼクティブ概要を書く | 技術的な調査結果をビジネス言語に翻訳します。 | リーダーシップとステークホルダーにインシデントデータを明確に伝えるのに役立ちます。 |
適切に使用すると、ChatGPTなどのgenAIツールは、SOCアナリストがアラートの要約、ログ内の疑わしいパターンの特定、チケットノートの作成、技術的調査結果のビジネス言語への翻訳など、繰り返しタスクを加速させるのに役立ちます。
ただし、genAIおよびAIエージェントは、人間の判断を完全に置き換えてはいけません。代わりに、アナリストがより良い情報を整理し、繰り返しの書き込みおよび解釈タスクに費やす時間を削減するのに役立つ力の乗数として機能すべきです。
以下のプロンプトは、SOCアナリストが日常業務ワークフローの一部としてChatGPTを使用するのに役立つように設計されています。
1. セキュリティアラートを要約する
セキュリティツールは、多くの場合、ベンダー固有の言語、プロセス詳細、メタデータ、または動作説明で満たされた詳細な検出を生成します。これはトリアージを遅くすることができます。特にジュニアアナリストの場合です。
プロンプト:
次のセキュリティアラートデータをL1 SOCアナリスト向けの簡単な用語で要約してください。何が起こったのか、それが重要な理由、可能性の高い重大度、そして最初に取るべき3つの調査ステップを含めます:[アラート/ログ/EDR検出を貼り付けます]。
このタイプのプロンプトは、生のアラートデータをより読みやすい説明に変換するのに役立ちます。
L1アナリストが手動ですべてのフィールドまたは技術的なフレーズをデコードするよう強制するのではなく、ChatGPTは、アラートが何を示しているのか、そしてそれがなぜ重要である可能性があるのかを説明する簡潔な要約を作成できます。
2. 疑わしい活動のための生ログを分析する
ログデータを手動で確認することは、特にアナリストがパターンが悪意のあるものか潜在的に悪意のあるものかを特定しようとしている場合、時間がかかる場合があります。
プロンプト:
次のログを分析し、疑わしい活動、注目すべき指標、可能な攻撃者の動作、および調査のための推奨される次のステップを特定します:[ログデータを貼り付ける/添付します]。
このプロンプトは、L1アナリストが異常な認証試行、繰り返された失敗、奇妙なプロセス起動、疑わしいドメイン、異常な地理的アクセス、またはコマンド・アンド・コントロール(C2)活動の兆候を特定するのに役立ちます。
アナリストはまだ出力を検証する必要がありますが、ChatGPTまたはAIエージェントは初期レビュー時間を削減し、アナリストを正しい方向に指し示すのに役立ちます。
3. アラートのトリアージチェックリストを作成する
ChatGPTは、既存のインシデント対応プレイブックがない場合に、L1アナリストが不慣れなアラートにより一貫性のある反復可能な調査プロセスでアプローチするのに役立ちます。
プロンプト:
経験豊富なL1 SOCアナリストのように行動します。このアラートに基づいて、従うべき段階的なトリアージチェックリストを作成し、検証すること、収集する証拠、およびいつエスカレートするかを含めます:[アラートの詳細を貼り付ける/添付します]。
このプロンプトは、疑わしいPowerShell活動、不可能な旅行アラート、フィッシング、または異常なアウトバウンドトラフィックなどのアラートに役立つため、アナリストに調査のための構造化された出発点を与えるのに役立ちます。
4. プロフェッショナルなケースノートまたはチケット更新を作成する
ドキュメンテーションはSOC作業の中核です。アナリストは、調査内容、確認された証拠、実行されたアクション、および現在のステータスを説明するクリアなチケットノートを書くことが期待されています。
ドキュメンテーションが不十分だと、引き継ぎが困難になり、エスカレーション時または深いインシデントレビュー時に混乱が生じる可能性があります。
プロンプト:
次の調査の詳細に基づいて、プロフェッショナルなSOCケースノートを書いてください。インシデントチケットに適切で、簡潔で明確にしてください。調査結果、実行されたアクション、および現在のステータスを含めます:[メモを貼り付ける/添付します]。
このプロンプトは、アナリストが粗いメモをクリーンでプロフェッショナルなケースドキュメンテーションに変える際に役立ちます。特にアナリストが複数のチケットを一度に処理している場合、ケース処理の一貫性を向上させ、時間を節約することができます。
5. Tier 2またはインシデント対応へのエスカレーションメッセージを作成する
すべてのアラートが初期トリアージ段階で解決できるわけではありません。L1アナリストが認証情報の侵害の可能性、マルウェア実行、疑わしい管理上の動作、またはランサムウェア活動などを特定すると、彼らはしばしば迅速かつ明確にエスカレートする必要があります。
プロンプト:
次のアラートと調査結果に基づいて、L2/L3アナリスト向けの簡潔なエスカレーションメッセージを作成します。観察されたもの、それが懸念事項である理由、すでに検証されたもの、および推奨される次のアクションを含めます:[調査結果を貼り付ける/添付します]。
これにより、L1アナリストは重要な詳細を余分な言葉に埋もれさせることなく情報を伝えることができます。チケットエスカレーションの良いコミュニケーションは、往復を減らし、次のチームメンバーが調査を効率的に続けるのを容易にします。
6. 疑わしいフィッシングメールを分析する
フィッシングは、アナリストがメールコンテンツ、送信者詳細、ヘッダー、リンク、およびソーシャルエンジニアリングのキューを評価して、メッセージが悪意のあるものか単なるスパムかを判断する必要がある一般的な問題です。
プロンプト:
この疑わしいフィッシングメールを分析し、危険信号、可能な攻撃者戦術、疑わしい指標、および推奨される対応アクションを特定します。これが認証情報の収集、マルウェア配信、ビジネスメール侵害、または単なるスパムであるかどうかを含めます:[メールヘッダー/本文/URLを貼り付ける/添付します]。
このプロンプトは、L1アナリストがスプーフィング指標、疑わしいドメイン、緊急言語、なりすまし戦術、添付ファイルリスク、および可能な悪意のあるリンクを特定するのに役立ちます。また、ジュニアアナリストがフィッシング攻撃がどのように構造化されているかをより良く理解するのに役立つこともできます。
7. MITRE ATT&CKフレームワークにアクティビティをマップする
MITRE ATT&CKフレームワークは、脅威アクターのタクティクス、テクニック、および手順(TTP)を分類するのに役立ちます。L1アナリストはしばしば、疑わしい活動がより広い攻撃ライフサイクル内のどこに適合するかを理解する必要があります。
プロンプト:
観察された次のアクティビティを可能性の高いMITRE ATT&CKタクティクスとテクニックにマップします。各マッピングが適合する理由と、それを確認するのに役立つ追加の証拠を説明します:[調査結果またはイベント概要を貼り付けます]。
これにより、L1アナリストは、アラートを分離されたものと見なすのではなく、攻撃者の動作についてより戦略的に考えるのに役立ちます。また、レポーティングの品質、脅威ハンティング、および他のチームとのコミュニケーションを改善することもできます。
8. 脅威ハンティングのアイデアを生成する
SOCアナリストは、反応的なアラート処理に限定されていません。より成熟した環境では、アナリストは、侵害の指標(IOC)に基づいて、侵害の兆候を事前に探すことがしばしば期待されています。
伝統的に脅威ハンティングはより上級のレベルのアナリストによって行われていますが、SOCでのAIエージェントの使用により、L1アナリストは脅威ハンティングと深い脅威インテリジェンス活動にアップスキルする自由が得られています。
プロンプト:
このアラートまたは疑わしい動作に基づいて、10の脅威ハンティング仮説と、さらに調査するために使用すべきデータソースまたはクエリを提案します:[アラート、IOC、または動作を貼り付ける/添付します]。
このタイプのプロンプトは、L1アナリストが分離された検出を環境全体のより広いハンティングアクティビティに展開するのに役立ちます。
例えば、疑わしいPowerShellコマンドが1つのホストに表示される場合、AIは、エンドポイント、認証、プロキシ、またはDNSログで他の場所で同様の実行を探す方法を提案するのに役立ちます。
9. SIEM検出のアイデアを改善または作成する
すべてのL1 SOCアナリストが正式に検出エンジニアリングチームの一部ではありませんが、一部のアナリストはインシデントを調査する際にコントロールギャップを特定します。
ChatGPTなどのAIツールは、アナリストが疑わしい動作をより良い検出ロジックにどのように変換できるかを考えるのに役立つことができます。
プロンプト:
次の疑わしい動作のためにSIEM検出を作成または改善するのに役立ちます。検出ロジックのアイデア、監視するキーフィールド、誤検知の考慮事項、およびチューニング推奨事項を含めます:[アクティビティを説明します]。
これは、ブルートフォース活動、疑わしいPowerShellの使用法、権限昇格、異常なサービス作成、横方向への動き、または異常な認証パターンの検出に関するアイデアの構築に役立つことができます。
また、L1アナリストがアラートに対応するだけでなく、可視性を向上させ、検出を調整するディフェンダーのようにより考えるのに役立ちます。
10. エグゼクティブに優しいインシデント概要を書く
より見落とされているSOCスキルの1つはコミュニケーションです。
アナリストは、しばしば技術的に深くないステークホルダー(マネージャー、コンプライアンスチーム、法務チーム、エグゼクティブなど)にインシデントを説明するよう求められます。アナリストにとって理にかなった技術用語は、ビジネスステークホルダーにとって混乱するか、役に立たない可能性があります。
プロンプト:
次の調査の詳細に基づいて、マネージャーまたはエグゼクティブのオーディエンス向けの非技術的なインシデント概要を書いてください。何が起こったか、ビジネスへの影響、現在のステータス、および重い技術用語を使用せずに推奨される次のステップを説明します:[インシデントの詳細を貼り付ける/添付します]。
このプロンプトは、アナリストが技術的な調査結果をビジネス言語に変える際に練習するのに役立ちます。これは重要なスキルです。インシデントは単なる技術的イベントではなく、多くの場合、運用上、財務上、評判上、およびコンプライアンスの影響もあるためです。
重要なリマインダー:機密データを公開AIツールに貼り付けないでください
ChatGPTなどのツールはSOCワークフローに役立つことができますが、責任を持って使用する必要があります。
SOCアナリストは、組織がその使用を明示的に承認していない限り、機密、機密、規制、または内部/専有のセキュリティデータを公開AIツールに貼り付けるべきではありません。
承認されていない公開AIシステムに貼り付けてはいけないデータの例は、次のとおりです:
- 顧客または従業員の個人データ
- 認証情報またはシークレット
- 内部IPアドレスまたはアセットインベントリ
- 専有ログ
- 機密インシデント詳細
- 規制または機密情報
- 識別可能なシステムまたはユーザーデータを含む内部調査ノート
より安全なアプローチは、AIを使用する前に情報をサニタイズまたは編集することです。
これには、ユーザー名、ホスト名、ドメイン、電子メールアドレス、IPアドレス、内部システムに関連付けられたファイルハッシュ、または組織またはそのユーザーを公開する可能性のある情報を削除する場合があります。
理想的には、SOCチームは、組織の法的、プライバシー、セキュリティ要件に合わせた承認されたエンタープライズAIツールのみを使用する必要があります。
要点
ChatGPTおよび他のAIツールは、適切に使用した場合、SOCアナリスト向けの実用的な生産性補助として使用できます。
これらにより、アナリストはセキュリティ情報をより効率的に要約、構造化、文書化、解釈、および伝えることができ、繰り返しの作業を削減し、一貫性を改善し、検出エンジニアリング、脅威ハンティング、および脅威インテリジェンスにもっと焦点を当てることができます。
ただし、SOCでのAIの価値は、それがどのように使用されるかに依存します。アナリストはまだ調査結果を検証し、批判的思考を適用し、内部手順/プレイブックに従う必要があります。
AIは作業をスピードアップできますが、人間を完全に置き換えるべきではありません。
効率を向上させたいL1 SOCアナリストの場合、これらのプロンプトは日常的なワークフローにAIを統合するための実用的な出発点を提供します。
