场景探索｜日志易SIEM/SOAR 联动 ChatGPT 的安全溯源分析及处置建议

背景介绍
信息化时代，网络安全隐患已经成为个人及企业面临的严峻挑战。网络攻击手段多种多样，攻击者的行为也越来越隐蔽。因此，当遭受网络攻击，如何快速有效地进行威胁溯源分析及处置，成为了信息安全领域亟待解决的重要问题。 传统的安全事件分析方法主要依赖于安全分析人员的经验和技能，但随着网络攻击的复杂度不断提高，安全分析人员需要处理的安全事件和告警信息日渐繁杂，处置效果与效率江河日下，传统的安全事件分析方法明显无法满足现阶段安全防御的需求。

目前，由 人工智能实验室 OpenAI 发布的对话式大型语言模型 ChatGPT 热度居高不下，日志易始终保持密切关注，并已经开始探寻更加高效、智能的解决方案 。

针对威胁溯源分析及处置，日志易用 ChatGPT 从多个维度、多个角度进行了尝试，结合机器学习算法，发现了隐藏在告警信息背后的威胁行为模式，从而实现更精准地确定攻击来源和攻击路径。此外，结合 ChatGPT 与日志易SIEM，可以针对不同类型的安全事件生成对应标准化处置流程，安全人员能够根据溯源分析结果及处置流程快速处置威胁告警，大大提高安全防御的高效性和准确性，最大限度降低安全事件对企业可能造成的损失。

原始日志分析
实现思路
当产生威胁事件时， 通过操作自定义将原始日志通过 ChatGPT API 接口询问是否存在攻击行为，根据 ChatGPT 返回的内容判断该威胁事件为真实攻击还是误报，如判断为真实攻击，ChatGPT 会分析日志中的攻击行为，从而更快地进行威胁处置。
配置操作自定义

实现效果
01
威胁事件




自动化溯源分析及处置
实现思路
当发生威胁事件，并确认为真实攻击时，可以使用 SOAR 剧本对接ChatGPT 进行自动化溯源分析及处置，首先根据威胁事件名称询问 ChatGPT 生成用于溯源分析的日志易SPL 语句，接着使用 SPL 组件对 ChatGPT 提供的 SPL 语句进行查询，接着再询问 ChatGPT 处置流程，最后以邮件的形式将溯源分析的结果发送至负责人，负责人可以根据溯源分析结果及按照 ChatGPT 提供的处置建议处置威胁事件。
准备工作
01
生成 SPL 语句
这里需要向 ChatGPT 介绍 SPL 语法以及如何使用 SPL，当 ChatGPT 理解SPL 语法之后，就可以使用 ChatGPT 生成对应的溯源分析 SPL 语句了，效果如下。

02
生成处置建议
除此之外，需要使用 ChatGPT 生成不同威胁事件的处置建议。

剧本步骤
完成上面的准备工作之后，就可以配置 SOAR 剧本调用 ChatGPT 实现自动化。

01
生成 SPL
首先需要获取威胁名称，然后根据威胁名称，使用 ChatGPT 生成针对该事件溯源分析的 SPL 语句。
02
提取 SPL
ChatGPT 回答中可能包含一些中文描述，因此需要通过脚本提取 SPL 语句，并保存在字段中 。
03
拆分 SPL
ChatGPT 中可能包含多条 SPL 语句用于溯源分析，因此需要使用 JS 进行拆分，分别通过 SPL 组件进行查询 。
04
执行 SPL
执行 ChatGPT 提供的进行溯源分析的 SPL 语句 。
05
保存 SPL 结果
保存所有 SPL 及对应的执行结果，并判断是否全部执行完毕。
06
生成处置建议
将 SPL 查询结果添加至任务评论中，并根据威胁事件名称，询问 ChatGPT 处置建议。
07
添加处置流程
按照 ChatGPT 提供的处置建议，为任务添加事件处置流程模板 。
08
格式化信息
将上述信息格式化，包括溯源分析、处置建议、溯源分析结果及任务链接等内容 。
09
发送邮件通知
将格式化的信息以邮件的方式通知到对应的负责人。
效果展示
01
威胁事件
当发生威胁事件时，会自动调用剧本进行溯源分析。

02
邮件通知
将威胁事件相关信息（包括威胁事件名称、任务链接、以及溯源分析结果及处置建议）通过邮件的方式通知对应的负责人。

03
处置流程
威胁事件对应的任务评论中可以看到相关的溯源分析结果，以及按照 ChatGPT 返回的处置建议设定威胁处置的流程。