Introdução
Temos o prazer de anunciar que a Deloitte Japão está iniciando a validação da produção de Modelo Foundation-sec-1.1-8B-Instruct da Cisco Foundation AI para suas operações de segurança. Ao usar esse modelo de linguagem grande (LLM) de código aberto e focado na segurança, a Deloitte Japão automatizou tarefas importantes, como análise de alertas de segurança, priorização e redução de falsos positivos. Esta adoção destaca como a IA generativa de código aberto pode aprimorar as operações de segurança tradicionais e oferece insights práticos sobre a implementação de fluxos de trabalho orientados a propósitos com LLMs econômicos.
Fundo
Como fornecedora de serviços de segurança gerenciados, a Deloitte Japan recebe diariamente vários alertas de segurança dos ambientes dos clientes e deve analisá-los e triá-los. Algumas dessas tarefas exigem muito trabalho, como a análise de logs de alerta brutos e a elaboração de resumos para cada alerta. Outros exigem conhecimento e experiência específicos em segurança, como identificar falsos positivos e criar regras de supressão para evitar a recorrência de problemas semelhantes.
Ao implementar o modelo Foundation-sec-1.1-8B-Instruct da Cisco Foundation AI, a Deloitte Japan simplificou essas tarefas usando fluxos de trabalho baseados na experiência de analistas humanos. Essa abordagem acelera a triagem de alertas e melhora a qualidade da detecção. Graças ao ajuste rápido de tarefas específicas e ao design do fluxo de trabalho, a Deloitte Japão alcançou resultados estáveis e precisos com o modelo Foundation-sec-1.1-8B-Instruct, combinando o desempenho de modelos com mais de 15 vezes mais parâmetros.
Com base nesta abordagem, a Deloitte Japan agora está introduzindo a automação orientada por LLM no fluxo de trabalho SOC. O objetivo não é a automação completa de todas as tarefas do analista, mas a automação prática das partes mais repetitivas e demoradas do tratamento de alertas.
Figura 1: Fluxo de trabalho SOC e áreas-alvo para automação baseada em LLM.
Fluxos de trabalho
Usando o modelo Foundation-sec-1.1-8B-Instruct, a Deloitte Japan desenvolveu três fluxos de trabalho principais.
1. Suporte para análise de alerta
Este fluxo de trabalho oferece suporte aos analistas na análise de alertas. Analisa alertas tratados por analistas de segurança, avalia o impacto de um ataque e fornece os resultados juntamente com as etapas que levam à decisão.
Figura 2: Fluxo de trabalho do agente para suporte à análise de alertas.
Conforme mostrado na Figura 2, o agente realiza ingestão de alertas, coleta de eventos direcionados, aterramento, filtragem/desduplicação, enriquecimento, avaliação, geração de relatórios e orientação de acompanhamento.
Especificamente, realiza ingestão de alertas do SIEM; coleta de eventos direcionados de IPS e EDR em torno da janela de alerta; ancoragem aumentada de recuperação contra runbooks, casos anteriores, notas de detecção e inteligência de ameaças pré-anexadas ou logs auxiliares; filtragem de relevância e desduplicação; enriquecimento de ativos/usuários/contexto; avaliação de gravidade e impacto; geração de rascunho de nota de caso/relatório; e orientação de acompanhamento.
Figura 3: Exemplo de saída da análise.
Conforme mostrado na Figura 3, o resultado apoia a justificativa, as principais evidências, os fatores de incerteza e um rastreamento de análise auditável passo a passo. Também fornece orientações de acompanhamento (próximas ações e critérios de encerramento automático para casos claramente de baixo risco). As próximas etapas são a validação da produção e a automação seletiva para cenários bem delimitados de baixo risco, com um ser humano no circuito para qualquer coisa ambígua.
2. Análise e priorização de gravidade de alerta (triagem de alerta)
Figura 4: Fluxo de trabalho do agente para análise e priorização da gravidade dos alertas.
Este fluxo de trabalho analisa alertas de EDR usando detalhes de alerta e telemetria relacionada para dar suporte à priorização e identificar prováveis falsos positivos. Conforme mostrado na Figura 4, o agente realiza recuperação de alertas, coleta de eventos, filtragem de relevância, avaliação de gravidade, elaboração de relatórios e orientações de acompanhamento.
Para melhorar a qualidade da saída, o fluxo de trabalho utiliza a atividade EDR circundante, além do próprio alerta, enquanto controla o escopo do evento para evitar contexto excessivo. Ele também separa a avaliação da gravidade, a elaboração de relatórios e as orientações sobre os próximos passos para reduzir a variação do contexto e melhorar a estabilidade dos resultados.
Conforme mostrado na Figura 5, o resultado inclui não apenas um rótulo de gravidade, mas também justificativa de apoio e informações relacionadas à incerteza que podem orientar a revisão do analista. O próximo passo é a validação da produção e a automação seletiva para casos claramente de baixo risco. O desafio restante é a avaliação robusta de cenários de baixa gravidade e falsos positivos.
Figura 5: Exemplo de saída da triagem.
3. Criação de regra de supressão de alerta com base em casos de falsos positivos
Neste fluxo de trabalho, o agente utiliza dados de incidentes registrados em tickets. Com base nesses dados, produz uma regra de supressão que suprime apenas alertas vinculados a eventos determinados como falsos positivos. Também mostra o raciocínio por trás da regra. Quando um falso positivo envolve o uso indevido de ferramentas legítimas, como os ataques Living off the Land, a regra de supressão precisa refletir como as ferramentas foram usadas.
Figura 6: Fluxo de trabalho do agente para criação de regras de supressão de alertas com base em casos de falsos positivos.
Conforme mostrado na Figura 6, esse fluxo de trabalho é executado em diversas fases. Para apoiar decisões precisas, o processo é dividido para que cada tarefa seja mapeada para um único nó, e a estrutura do gráfico permite ramificações com base em cada resultado de decisão. Conforme mostrado na Figura 7, o fluxo de trabalho gera a regra de supressão. Em vez de fazer com que o modelo gere as condições de regra diretamente, ele primeiro seleciona as condições necessárias das entidades relacionadas ao incidente e depois as reúne. O objetivo é melhorar a consistência e a reprodutibilidade das condições e aumentar a taxa de sucesso na montagem da regra.
Figura 7: Fluxo de trabalho do agente para criação de regras de supressão de alertas com base em casos de falsos positivos
Esses fluxos de trabalho podem dar suporte às operações de segurança, fornecendo análises resumidas para cada alerta, determinando a gravidade para identificar casos críticos ou falsos positivos e gerando regras de supressão eficazes para filtrar falsos positivos no futuro. Com esses resultados, os analistas de segurança podem compreender rapidamente o conteúdo de cada alerta. As pontuações de gravidade ajudam os analistas a se concentrarem nos alertas mais críticos. Ao aplicar regras de supressão, os analistas evitam ser sobrecarregados por alertas insignificantes e podem concentrar-se no que é mais importante.
Otimizações
O modelo Foundation-sec-1.1-8B-Instruct é um LLM relativamente pequeno com apenas 8 bilhões de parâmetros, o que mantém baixos os custos de inferência e facilita a implantação prática. Para igualar o desempenho de modelos muito maiores, a Deloitte Japão aplicou diversas técnicas de otimização.
Uma técnica eficaz foi dividir as tarefas em várias etapas dentro de um fluxo de trabalho, em vez de usar um prompt único e complexo. Os fluxos de trabalho foram projetados com base na experiência de analistas humanos, com etapas como extrair informações importantes de alertas, raciocinar sobre valores e padrões extraídos e gerar resultados com base em etapas anteriores. Isso permite que o modelo se concentre em cada etapa com contexto suficiente e aproveite a lógica específica da organização para garantir que os resultados sejam úteis na produção.
Outra técnica foi usar resultados estruturados durante as etapas intermediárias. Ao especificar a saída no formato JSON, o fluxo de trabalho pode transmitir informações importantes entre as etapas de maneira mais confiável, reduzir a ambiguidade e oferecer suporte a uma integração mais suave com o processamento downstream.
O RAG também é usado para melhorar a precisão da análise. Ao usar uma combinação do conhecimento analítico do analista de segurança, informações monitoradas sobre ativos e histórico de respostas, o agente pode sugerir ações mais alinhadas com o julgamento do analista.
Conclusão
A integração do modelo Foundation-sec-1.1-8B-Instruct da Cisco Foundation AI nas operações de segurança da Deloitte Japão marca um marco significativo no uso de modelos de IA de código aberto e focados na segurança para acelerar e agilizar tarefas de segurança. Isso ajuda a reduzir a carga de trabalho do analista SOC e a melhorar a produtividade. Estendemos nossa sincera gratidão à equipe da Deloitte Japão por sua excelente implementação e por compartilhar os detalhes deste caso de uso.
Depoimentos de clientes
“Através deste ponto de vista, a Deloitte Japão confirmou que o modelo de código aberto focado em segurança da Cisco Foundation AI pode suportar a automação prática de SOC, incluindo análise de alertas, priorização e redução de falsos positivos. Ao transformar a experiência do analista em fluxos de trabalho estruturados, alcançamos resultados explicáveis com justificativa e evidências. Os resultados mostram que mesmo um modelo 8B pode fornecer resultados estáveis quando combinado com design de fluxo de trabalho e resultados estruturados.”
— Kohei Sato, sócio, chefe do Centro de Inteligência Cibernética, Deloitte Tohmatsu Cyber LLC