歡迎回到我們關於 OpenAI 和 Microsoft Sentinel 的系列!今天我們將探討 OpenAI 廣受歡迎的語言模式的另一個案例,並了解 Sentinel REST API。如果您還沒有 Microsoft Sentinel 實例,您可以使用免費的 Azure 帳戶建立一個實例並按照Sentinel 入門快速入門進行操作。您還需要一個帶有 API 金鑰的個人 OpenAI 帳戶。準備好?讓我們開始吧!
安全從業者面臨的任務之一是如何快速使用分析規則、查詢和定義來理解觸發警報的原因。例如,以下是一個用Kusto 查詢語言(KQL) 編寫的相對較短的Microsoft Sentinel 分析規則範例:
經驗豐富的KQL 操作員不會有任何困難將其解析出來,但仍需要一些時間來在腦海中映射出關鍵字、日誌來源、操作和事件邏輯。從未使用過 KQL 的人可能需要更多時間來了解此規則旨在檢測的內容。幸運的是,我們有一個非常擅長閱讀程式碼並用自然語言解釋的朋友——OpenAI 的 GPT3!
DaVinci 等 GPT3 引擎非常擅長用自然語言解釋程式碼,並且在 Microsoft Sentinel KQL 語法和用法方面接受過廣泛培訓。更好的是,Sentinel 有一個內建的 OpenAI 連接器,使我們能夠將 GPT3 模型整合到自動化的 Sentinel 劇本中!我們可以使用此連接器為描述分析規則的 Sentinel 事件新增評論。這將是一個具有線性操作流程的簡單邏輯應用程式:
讓我們從觸發器開始逐步了解邏輯應用程式。我們為此劇本使用 Microsoft Sentinel 事件觸發器,以便我們可以使用 Sentinel 連接器從事件中提取所有相關的分析規則 ID。我們將使用規則 ID 使用 Sentinel REST API 來尋找規則查詢文本,我們可以在文本完成提示中將其傳遞給 AI 模型。最後,我們會將 AI 模型的輸出作為評論加入事件。
我們的第一個動作是作用於Sentinel 的「事件相關分析規則ID 項目」的「For each」邏輯區塊:
##接下來,我們需要使用Sentinel REST API 來請求預定的警報規則本身。此 API 端點記錄在此:https://learn.microsoft.com/en-us/rest/api/securityinsights/stable/alert-rules/get ?tabs= HTTP 。如果您以前沒有使用過 Sentinel API,您可以點擊程式碼區塊旁邊的綠色「試用」按鈕,使用您的憑證預覽實際請求。這是探索 API 的好方法!在我們的例子中,「Get - Alert Rules」請求如下所示:GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules/{ruleId}?api-version=2022-11-01
https://management.azure.com@{items('For_each_related_Analytics_Rule_ID')}?api-version=2022-11-01
{"type": "object","properties": {"id": {"type": "string"},"type": {"type": "string"},"kind": {"type": "string"},"properties": {"type": "object","properties": {"severity": {"type": "string"},"query": {"type": "string"},"tactics": {},"techniques": {},"displayName": {"type": "string"},"description": {"type": "string"},"lastModifiedUtc": {"type": "string"}}}}}
我們劇本的最後一步是使用 GPT3 的結果文字為事件添加評論。如果您想改為新增事件任務,只需選擇該 Sentinel 操作即可。新增「事件 ARM ID」動態內容對象,並使用 GPT3 操作輸出的「文字(完成文字)」撰寫評論訊息。邏輯應用程式設計器會自動將您的評論操作包裝在「For each」邏輯區塊中。完成的評論操作應與此類似:
儲存邏輯應用,讓我們在事件中試用它!如果一切順利,我們的邏輯應用程式運行歷史將顯示成功完成。如果出現任何問題,您可以檢查每個步驟的確切輸入和輸出詳細資訊 - 一個非常寶貴的故障排除工具!在我們的例子中,它一直是綠色的複選標記:
成功!劇本為事件添加了評論,為我們過度勞累的安全分析師節省了幾分鐘。
以上是OpenAI 和 Microsoft Sentinel 第 2 部分:解釋分析規則的詳細內容。更多資訊請關注PHP中文網其他相關文章!