This post is also available in: English (英語)
皆さんはすでにChatGPTを使ってスクリプトを書いたり、画像を生成したりしたことがあるかもしれません。Cortex XSOARにChatGPTインテグレーションが加わったことは既報のとおりなのですが、そうなると「これをどうセキュリティ オペレーション(SecOps)に活かせばインシデント レスポンスを効率化できるのか」が気になるところではないでしょうか。
取り急ぎ概要を知りたい方へ: CortexのポートフォリオにAIを組み込んで最新の自律型SOCを作る方法はCortex XSIAM Solution Brief (日本語版)から確認できます。
本稿では以下のように、XSOARのプレイブック内でChatGPTを使ってユーザーフレンドリーに情報配信をはじめる方法の例をご紹介します。
プレイブックの解説に入る前に、ChatGPTがアラートを取り込み、定形フォーマットに従い、よりリッチなコンテキストを追加した上で、インシデントの詳細を書き換えてくれるようすを見てみましょう。
今回のリクエストとプレイブックではGPT-3.5を使っています。
たいしたものですよね。
ということで、これを自動化されたプレイブック連携させてみましょう。このプレイブックは標準的なチケット テンプレートで作成されており、以下の内容をカバーしています。
別の出力条件を与えてやれば、ChatGPTのレスポンスは微調整可能です。クイック ヒント: 条件を箇条書きにしておけばChatGPTはそれに合わせたフォーマットにしてくれます。注: ChatGPTを使ってデータを提示するさいは、自社のデータ分類ポリシーに従うことをお勧めします。
弊社は以下のインテグレーション(OpenAi ChatGPT v3)を使う予定です。
https://xsoar.pan.dev/docs/reference/integrations/open-ai-chat-gpt-v3
注: OpenAI APIの利用には無料の試用終了後に従量課金(pay-as-you-go)のサブスクリプションが必要です。
https://platform.openai.com/docs/introduction
新しい秘密鍵を追加するには、[Create new secret key (新しい秘密鍵を生成)]をクリックします。
新しい秘密鍵をコピーしてください。警告: 新しい秘密鍵にアクセスできなくなるのでコピーしてからウィンドウを閉じるようにしてください。
これでChatGPTインテグレーションのインスタンス設定は終了です。さっそくプレイブックで使ってみましょう。自動化のユース ケースに合わせて、必要に応じてプレイブック タスクを変更できます。
エンリッチメントは2段階に分けて行います。
インシデント分析のため、以下のように以前のタスクで収集したすべてのデータをChatGPTに送信し、インシデントの深刻度を判定します。
前述のとおり、ChatGPTにはご自身でプロンプトを設定できますが、最適な出力結果を得るためのヒントを以下にいくつかご紹介します。
ご自身の入力パラメーターでタスクを設定すると、ChatGPTのWeb版の出力内容とよく似た内容になるはずです。
API連携でChatGPTと通信する場合はトークンの利用数を監視することが重要です。OpenAIはお客様のAPIコール(プロンプト+回答)で使用されたトークンの総数にもとづいてAPI利用料を計算します。
OpenAIはOpenAIトークンの定義とカウント方法についての詳細情報を提供しています。
このフェーズでは、悪意のあるインジケーターはすべて、Cortex XDRないしファイアウォールでブロックされることになります。これはインジケーターのエンリッチメント段階で判定されたインジケーターのレピュテーション/スコア応じて決まります。
インシデント解決の一環として、ChatGPTのレスポンス詳細が記載されたメールがSOCアナリストに送信され、ServiceNowチケットが生成され、ChatGPTの出力をもとにしたクローズ メモで更新されます。
これはXSOARからアナリストが受け取ったメールの例で、ChatGPTのレスポンスが出力されています。
私たちは、Cortex XSOARとの連携させるべく、多数のLLM (大規模言語モデル)に取り組んでいて、このChatGPTもそうしたLLMの1つです。ほかにGoogle Vertex AiなどのLLMとの連携に関するブログも予定しています。
さらに詳細を学ぶには
Cortex XSOARをまだお使いでない場合は、無料の Community版をいますぐダウンロードして、このプレイブックと何百もの自動化パックをお試しください。自動化パックは、セキュリティ オペレーションやSOCで皆さんが日常的に扱うよくあるユース ケースに対応しています。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.