压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

代理流程自動(dòng)化（APA，Agentic Process Automation）利用大語(yǔ)言模型（LLMs）和AI Agents來(lái)創(chuàng)建能夠動(dòng)態(tài)構(gòu)建和執(zhí)行工作流的自主智能系統(tǒng)，代表了自動(dòng)化技術(shù)的重大飛躍。

傳統(tǒng)的機(jī)器人流程自動(dòng)化（RPA）和智能自動(dòng)化（IA）依賴于預(yù)定義的規(guī)則和人工監(jiān)督，與之不同的是，APA 使AI Agents能夠解釋任務(wù)、做出實(shí)時(shí)決策，并根據(jù)實(shí)時(shí)數(shù)據(jù)不斷調(diào)整工作流程。這種從靜態(tài)、基于規(guī)則的自動(dòng)化向動(dòng)態(tài)、智能系統(tǒng)的轉(zhuǎn)變與網(wǎng)絡(luò)安全尤其相關(guān)，因?yàn)榫W(wǎng)絡(luò)安全威脅不斷演變，快速適應(yīng)能力至關(guān)重要。

網(wǎng)絡(luò)安全領(lǐng)域不斷發(fā)展的AI Agents

試想一下，與其手動(dòng)編寫自動(dòng)化腳本，不如讓AI Agents或基于瀏覽器的插件來(lái)監(jiān)控您的日常流程。它會(huì)向您建議可以自動(dòng)化的任務(wù)，然后為您構(gòu)建自動(dòng)化。需要集成？代理會(huì)檢索 API 文檔，并用所有可用操作構(gòu)建集成。這只是眾多潛在使用案例之一，說(shuō)明了AI Agents在網(wǎng)絡(luò)安全方面的變革潛力。

構(gòu)建網(wǎng)絡(luò)安全AI Agents藍(lán)圖

要了解AI Agents在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用，讓我們將其與標(biāo)準(zhǔn)的事件響應(yīng)（IR）流程進(jìn)行比較。

1.警報(bào)接收和分流代理

當(dāng)您的安全信息和事件管理 (SIEM)、安全編排、自動(dòng)化和響應(yīng) (SOAR) 或任何安全事件管理 (SIM) 平臺(tái)生成警報(bào)時(shí)，第一步是使用AI Agents來(lái)豐富警報(bào)內(nèi)容，我們稱之為?Triage Agent分流代理。

分流代理可分為專門功能，以便更好地控制和定制：

• 警報(bào)分組
  • 重復(fù)警報(bào)刪除：識(shí)別并合并可能繞過(guò) SIEM 初始過(guò)濾的重復(fù)事件。
  • 每個(gè)資產(chǎn)的警報(bào)分組：匯總與同一資產(chǎn)相關(guān)的警報(bào)，以提供潛在威脅的整體視圖。
• 警報(bào)增強(qiáng)：利用調(diào)查所需的額外背景增強(qiáng)警報(bào)：
  • IOC增強(qiáng)：使用各種付費(fèi)或開源情報(bào)源執(zhí)行威脅情報(bào)檢查，如果您已集中管理情報(bào)數(shù)據(jù)，則可咨詢威脅情報(bào)平臺(tái) (TIP)。
  • Machine (Endpoint/Server) 增強(qiáng)：收集受影響系統(tǒng)的詳細(xì)信息。
  • Account (Identity and Access Management) 增強(qiáng)：檢索用戶賬戶詳細(xì)信息和訪問(wèn)模式。

在分流代理完成這些任務(wù)后，您就有足夠的信息來(lái)確定是否需要對(duì)警報(bào)進(jìn)行進(jìn)一步調(diào)查（升級(jí)為事件），或者是否應(yīng)該根據(jù)操作流程進(jìn)行不同的路由。

2.被動(dòng)式威脅狩獵代理

一旦分流代理豐富了警報(bào)內(nèi)容，并提供了足夠的信息，以確定有必要進(jìn)行進(jìn)一步調(diào)查，下一步就是讓?Reactive Threat Hunting Agent 被動(dòng)式威脅狩獵代理參與進(jìn)來(lái)。該代理的功能類似于第 2 級(jí)分析師，對(duì)于深入事件以發(fā)現(xiàn)可能無(wú)法立即察覺(jué)的其他威脅或指標(biāo)至關(guān)重要。

了解威脅狩獵

威脅狩獵有多種目的，大致可分為以下幾種：

• Reactive Threat Hunting 被動(dòng)式威脅狩獵：針對(duì)特定事件或警報(bào)啟動(dòng)。
• Proactive Threat Hunting主動(dòng)式威脅狩獵：在網(wǎng)絡(luò)威脅情報(bào) (CTI) 的驅(qū)動(dòng)下，在潛在威脅顯現(xiàn)之前對(duì)其進(jìn)行預(yù)測(cè)和發(fā)現(xiàn)。

在這種情況下，我們將重點(diǎn)關(guān)注?Reactive Threat Hunting AI Agent，它可被事件激活以執(zhí)行詳細(xì)分析。

被動(dòng)式威脅狩獵AI Agents執(zhí)行的步驟

• 理解和分解告警：
  • 原子指標(biāo)：IP 地址、域名、電子郵件地址和文件哈希值等基本元素。
  • 計(jì)算指標(biāo)：通過(guò)數(shù)據(jù)分析獲得的信息，如惡意軟件文件大小或編碼字符串。
  • 行為指標(biāo)：威脅行為者使用的行為模式、戰(zhàn)術(shù)、技術(shù)和程序 (TTP)。
  • Indicator分類：代理首先將警報(bào)分解為各種類型的指標(biāo)：

搜索原子和計(jì)算指標(biāo)：

創(chuàng)建和執(zhí)行搜索：代理創(chuàng)建特定查詢，以搜索 SIEM、數(shù)據(jù)湖或其他相關(guān)工具中的歷史數(shù)據(jù)，查找已識(shí)別的 IOC。

• 訪問(wèn)多個(gè)系統(tǒng)：與可能需要登錄多個(gè)系統(tǒng)的人類分析師不同，AI Agents可以同時(shí)查詢所有必要的平臺(tái)（以防您的 SIEM 中沒(méi)有所有數(shù)據(jù)）。
• 數(shù)據(jù)規(guī)范化挑戰(zhàn)：
  • 字段名稱變化：不同的系統(tǒng)可能會(huì)對(duì)相同的數(shù)據(jù)使用不同的字段名稱（例如，”src_ip “與 “source_ip”）。
  • 解決方案：預(yù)定義數(shù)據(jù)映射或利用數(shù)據(jù)規(guī)范化層，使代理能夠有效地解釋和關(guān)聯(lián)不同系統(tǒng)中的數(shù)據(jù)。

IOC 校驗(yàn)結(jié)果：

• 更新事件案例：代理匯總調(diào)查結(jié)果，并用詳細(xì)信息更新事件或案例墻。
• 威脅情報(bào)集成：如果與威脅情報(bào)平臺(tái) (TIP) 集成，代理將反饋新的或更新的 IOC，從而豐富組織的威脅情報(bào)庫(kù)。(請(qǐng)參閱 LEAD 框架，了解威脅情報(bào)的有效反饋回路）。

分析行為指標(biāo)：

• 映射到 TTP：
• 該代理利用 MITRE ATT&CK 等框架，將行為指標(biāo)映射到已知的 TTP。在檢測(cè)規(guī)則映射到 ATT&CK 框架的情況下，很容易檢查這些檢測(cè)是否符合以下條件：
  • 歷史搜索：它會(huì)搜索與這些 TTP 相關(guān)的歷史數(shù)據(jù)和警報(bào)，以識(shí)別任何過(guò)去發(fā)生的情況或模式。
• 檢測(cè)差距識(shí)別：
  • 反饋給檢測(cè)工程：如果某些 TTP 未被檢測(cè)到（檢測(cè)缺失）。
  • 審查隊(duì)列：這些空白將添加到檢測(cè)工程隊(duì)列，用于制定新的檢測(cè)規(guī)則或增強(qiáng)功能。

3.響應(yīng)式AI Agents

經(jīng)過(guò)分析后，Response AI Agent?將負(fù)責(zé)執(zhí)行響應(yīng)操作：

• 基礎(chǔ)設(shè)施即代碼生成：
  • 為補(bǔ)救步驟創(chuàng)建 Terraform 或 CloudFormation 模板，并由 DevOps/SRE 團(tuán)隊(duì)審核和實(shí)施。
• 端點(diǎn)執(zhí)行：
  • 利用EDR工具隔離受損主機(jī)或收集取證證據(jù)。
• 安全控制更新：
  • 修改阻止列表或防火墻規(guī)則，例如阻止網(wǎng)絡(luò)釣魚事件中的惡意發(fā)件人，或根據(jù)新的 IOC 更新規(guī)則。
• 附加操作：
  • 與事件相關(guān)的任何其他定制響應(yīng)行動(dòng)。

https://www.cybersec-automation.com/p/rise-agentic-process-automation-cybersecurity

通過(guò)代理流程自動(dòng)化（Agentic Process Automation）融入AI Agents，代表著網(wǎng)絡(luò)安全操作的變革性轉(zhuǎn)變。通過(guò)智能自動(dòng)化事件響應(yīng)流程的各個(gè)階段–從最初的警報(bào)分流到反應(yīng)性威脅捕獵和響應(yīng)行動(dòng)–企業(yè)可以在不斷變化的網(wǎng)絡(luò)安全環(huán)境中顯著提高其檢測(cè)、分析和響應(yīng)威脅的能力。這種方法不僅能提高效率、縮短響應(yīng)時(shí)間，還能使安全態(tài)勢(shì)具有適應(yīng)性，并隨著新威脅的出現(xiàn)而不斷發(fā)展。

現(xiàn)在，我們已經(jīng)有了如何構(gòu)建AI Agents的藍(lán)圖，Dylan將在下一節(jié)介紹這些AI Agents的技術(shù)細(xì)節(jié)。

什么是AI Agents？

我們習(xí)慣于通過(guò)一個(gè)簡(jiǎn)單的文本輸入、文本輸出聊天機(jī)器人窗口與大型語(yǔ)言模型（LLMs）（如 ChatGPT）進(jìn)行交互。如果我們能向 LLM 發(fā)出同樣的指令，而它有能力進(jìn)行計(jì)劃、決策并執(zhí)行任務(wù)直至完成，那會(huì)怎么樣呢？簡(jiǎn)而言之，我們可以將 LLM 或AI Agents看作是一個(gè)聊天機(jī)器人，它具有采取行動(dòng)、訪問(wèn)工具和循環(huán)執(zhí)行任務(wù)直至完全完成的附加能力。除了 LLM 之外，AI Agents的概念通常還引入了 3 個(gè)核心組件：工具、內(nèi)存和規(guī)劃。

您可能會(huì)想：既然我可以使用 Gemini 或 Claude 等 LLMs，為什么還要使用代理呢？我最喜歡用吳恩達(dá)（Andrew Ng）的解釋來(lái)闡述非代理 LLMs 的局限性：”想象一下，如果您可以在電腦上寫一篇文章，但您不能使用退格鍵”。使用 LLMs 時(shí)，您只能向模型發(fā)送單個(gè)提示和得到回復(fù)。當(dāng)我們想要利用適應(yīng)性和靈活性時(shí)，我們就會(huì)使用代理。我們希望利用代理的思考和迭代能力，而無(wú)需人工干預(yù)。

這就是代理的閃光點(diǎn)：通過(guò)賦予 LLM 1) 執(zhí)行操作的能力和 2) 規(guī)劃、反思和迭代其答案的能力。在 ChatGPT 中，您可能會(huì)來(lái)回重復(fù) 20-30 次，直到對(duì)結(jié)果滿意為止，從而獲得最佳結(jié)果，對(duì)嗎？這正是我們與代理合作的好處，我們?cè)试S代理獨(dú)立迭代答案，直到足夠好為止。這主要是通過(guò)一個(gè)名為ReAct的概念來(lái)實(shí)現(xiàn)的，它是 “推理 “和 “行動(dòng) “的縮寫。為了使事情簡(jiǎn)單化，可以將代理視為賦予 LLM 循環(huán)直到完成任務(wù)的能力。

代理框架和最佳實(shí)踐

那么，如何才能親自試用代理呢？目前，圍繞AI Agents有許多新興的最佳實(shí)踐和框架。最流行的框架遵循多代理模式，但一般來(lái)說(shuō)，我喜歡將它們分為 1）宏觀協(xié)調(diào)和 2）微觀協(xié)調(diào)。如果您的目標(biāo)是快速建立原型并驗(yàn)證一些想法，那么最好從 CrewAI 和 AutoGen 等工具開始。這些框架通常采用多代理/對(duì)話框架，其中不同的代理采用不同的、專業(yè)的、互補(bǔ)的角色形式，類似于組織內(nèi)部的專用角色。

Top 4 Agentic AI Architecture Design Patterns

代理實(shí)踐

一個(gè)很好的起點(diǎn)是，將您試圖自動(dòng)化的整體任務(wù)列出所有步驟，并將每個(gè)步驟標(biāo)記為需要 1) 知識(shí)或 2) 操作。我們正在利用預(yù)訓(xùn)練模型的推理能力，但每個(gè)步驟都可能需要外部數(shù)據(jù)來(lái)完成任務(wù)，或者需要操作/工具來(lái)完成任務(wù)。對(duì)待AI Agents就像對(duì)待新隊(duì)友或新員工一樣，他們需要入職。他們需要獲得正確的工具和數(shù)據(jù)，以準(zhǔn)確完成任務(wù)。更重要的是，它們需要清晰明確的指令。一個(gè)很好的方法是任務(wù)分解，你花的時(shí)間越多，任務(wù)分解和專業(yè)化的程度就越高，就像 Filip 上面舉的例子一樣，結(jié)果的投資回報(bào)率就越高。

請(qǐng)記住，任何新技術(shù)或?qū)嵤┒夹枰獧?quán)衡利弊，只需記住評(píng)估您的用例需要什么，以及為什么要利用代理而不是 LLMs 。由于代理具有迭代和非綁定的特性，您的控制能力（可控性）和可視性（調(diào)試）可能會(huì)降低。因此，在實(shí)踐中，這最終會(huì)成為一種平衡行為，具體取決于您的使用情況。您可以提高代理的自主性（計(jì)劃、決策和執(zhí)行任務(wù)的能力），但代價(jià)是降低控制能力，或者 “與其讓代理（或代理群）自由地做端到端的所有事情，不如嘗試將他們的任務(wù)對(duì)沖到流程/SOP 中需要這種靈活性或創(chuàng)造性的特定區(qū)域”。

構(gòu)建代理的復(fù)雜程度各不相同，但歸根結(jié)底有三點(diǎn)：1) 控制（宏觀協(xié)調(diào)與微觀協(xié)調(diào)）；2) 可見性（LLM API 的抽象層）；3) 實(shí)施工作和開銷。捫心自問(wèn)，您希望對(duì)任務(wù)中的所有步驟有多大的控制力和可見性，或者您希望為設(shè)置代理本身花費(fèi)多少開銷或精力。您是想要一個(gè)框架為您完成繁重的工作，還是想要從頭開始創(chuàng)建一個(gè)代理？我們甚至還出現(xiàn)了一個(gè)全新的模型系列，名為?Large Action Models (LAMs)，它是專門為使用工具、推理和規(guī)劃而設(shè)計(jì)的。

最好的學(xué)習(xí)方法就是親身實(shí)踐！我建議您從 CrewAI +?AgentOps?開始，因?yàn)檫@是最容易上手的體驗(yàn)，您甚至可以使用?ollama?等本地模型，這樣就不必為第三方 API 提供商付費(fèi)。如果您使用 Anthropic 或 OpenAI，請(qǐng)使用 GPT-4o-mini 或 Claude3-Haiku 等小型模型，因?yàn)樗鼈兏?、更便宜?/p>

下面列出了最流行的協(xié)調(diào)框架，供您入門使用：

• CrewAI
• AutoGen
• LangGraph
• LlamaIndex Workflows
• OpenAI Swarm
• Dify
• TaskGen
• Atomic Agents
• Magentic-One
• AWS Multi-Agent Orchestrator

原文鏈接：

https://www.cybersec-automation.com/p/blueprint-for-ai-agents-in-cybersecurity

聲明：本文來(lái)自安全喵喵站，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系rhliu@skdlabs.com，我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。