Siem
PulseAugur coverage of Siem — every cluster mentioning Siem across labs, papers, and developer communities, ranked by signal.
4 天有情绪数据
-
Claude增强Wazuh安全警报,形成叙述性攻击链
作者详细介绍了如何利用Claude为开源安全监控平台Wazuh开发一个关联层。该层将分散的SIEM警报转化为一个连贯的、叙述性的攻击链,从而增强对安全攻击的检测和理解。该过程涉及利用Claude的能力来解释和综合复杂的安全数据,超越简单的警报聚合,提供更具可操作性的威胁叙述。
-
OpenAI、Anthropic 在 AI 智能体策略上出现分歧;新风险被识别
一项最新研究强调了 OpenAI 和 Anthropic 在 AI 智能体策略上的不同方向。该研究将“信念注入”识别为一种原生于智能体的新型风险,而现有的安全工具如 SIEM 和 EDR 目前无法检测到这种威胁。这种分歧表明了 AI 行业在智能体开发和安全考量方面采取了不同的方法。
-
微软研究人员揭示 AI 代理工具描述漏洞
微软研究人员展示了一种新的 AI 安全漏洞,恶意指令可以嵌入到 AI 代理使用的工具描述中。这种“提示注入”攻击通过污染告知代理如何使用工具的元数据来操纵代理的行为,导致敏感数据泄露,而当前的安监控系统难以检测。研究结果强调,开发人员和安全团队需要像对待用户输入一样对待工具描述,并开发新的方法来观察 AI 代理的行为,而不仅仅是分析单个操作。
-
Anthropic 的 Claude 合规性 API 助力 AI 滥用检测
Anthropic 推出了 Claude 合规性 API,旨在帮助组织检测其 AI 模型的使用滥用情况。该 API 提供一个可与安全信息和事件管理 (SIEM) 系统集成的源,以识别与访问和身份管理 (IAM) 相关的问 题。开发人员还创建了一个包含预过滤器和 LLM 裁判的管道,以捕获消息内容中更复杂的威胁,例如提示注入和数据泄露,并提供用于离线分析的存储库和 Sigma 规则。
-
Datadog 通过 BYOC 和联合搜索增强可观测性
Datadog 推出了包括自带云 (BYOC) 支持、联合日志搜索以及与第三方 SIEM 系统集成在内的新功能。尽管取得了这些进展,一位分析师还是警告了潜在的供应商锁定风险。此次更新还重点介绍了新的代理式 AI 安全工具,并讨论了与 AI 相关的复杂成本结构。
-
CMMC 2.0法规给小型国防承包商带来沉重成本
针对美国国防承包商的新法规,即CMMC 2.0,正在给小型企业带来巨大的经济负担。这些法规旨在加强针对人工智能和量子计算等威胁的网络安全,要求在安全技术和人员方面进行大量投资,每年可能花费数十万美元。批评者认为,这些成本与小型制造商的利润率不成比例,并且由于量子计算的进步,强制要求的加密标准已经过时。
-
多模态人工智能通过整合多样化数据输入增强网络安全运营
多模态人工智能正成为网络安全运营的宝贵工具,能够处理文本、屏幕截图和日志等多样化数据类型,以连接零散的证据。该技术旨在通过减少低价值的解释任务来增强而非取代人类分析师,使他们能够专注于关键决策。安全领域部署多模态人工智能的实用架构涉及分层方法,具有强大的护栏、人工监督和对工具的受控访问,以减轻过度依赖带来的风险。
-
尽管警报减少,人工智能仍难以提高SOC性能
尽管人工智能在安全运营中心(SOC)取得了进展,但许多中心在解决平均时间(MTTR)、分析师倦怠和漏报攻击方面仍然面临挑战。目前的人工智能部署在关联警报和提供调查起点方面表现出色,显著减少了原始警报量和误报。然而,人工智能的有效性受到系统碎片化、数据质量和工作流程集成等因素的限制,特别是在检测后阶段,协调和审批会导致显著延迟。
-
蜜罐令牌为长期潜伏的云端泄露提供新的防御手段
现代网络攻击通常涉及攻击者使用合法的工具和凭据,这使得 SIEM 和 EDR 等传统安全系统失效。这种“利用合法工具”的技术允许攻击者在很长一段时间内不被发现,目前云端泄露的平均潜伏时间为 26 天。一种新颖的方法是使用蜜罐令牌,这些令牌是植入环境中的虚假凭据;如果这些令牌被访问,将触发即时且明确的警报,从而在造成重大损害之前能够快速响应事件。
-
CyberAId平台使用AI代理来加强金融网络安全
一篇新论文提出CyberAId,这是一个混合多代理系统,旨在加强金融机构的网络安全。该系统将专门的AI子代理与现有的SIEM/XDR遥测技术集成,而不是取代它。CyberAId旨在通过提高推理能力、管理警报量和将发现映射到监管要求来解决当前安全运营的局限性。
-
AI统一SIEM平台,实现跨系统无缝威胁检测
来自新加坡和中国的研究人员开发了一种由AI驱动的代理规则翻译技术,旨在统一不同的安全信息和事件管理(SIEM)平台。这项突破旨在实现Splunk、QRadar和Sentinel等系统之间的无缝互操作性。这项创新有望通过解决数据冲突,赋能安全运营中心(SOC)团队实现统一的威胁检测能力。
-
新加坡研究人员使用AI跨SIEM平台翻译安全规则
新加坡国立大学和复旦大学的研究人员开发了一种名为ARuleCon的新技术,用于在不同的安全信息和事件管理(SIEM)系统之间翻译安全规则。SIEM系统被安全运营中心(SOC)用于监控日志文件并触发潜在安全事件的警报。由于SIEM供应商使用专有格式来编写规则,因此在一个系统上创建的规则通常无法在另一个系统上运行,这给使用多个SIEM的组织带来了复杂性。ARuleCon利用代理式检索增强生成(RAG)管道和特定供应商的文档,实现了比通用L…
-
大语言模型框架实现SOC运营自动化,将分类时间从数小时缩短至数分钟
研究人员开发了一个端到端框架,旨在自动化安全运营中心(SOC)内的关键工作流程。该系统集成了大语言模型组合用于威胁检测,准确率达到82.8%,误报率低。它还采用了一种新颖的架构,可跨不同SIEM平台生成精确查询,并通过将预测准确率从78.3%提高到90.0%来增强事件处置能力。该框架将事件分类时间从数小时显著缩短至10分钟以内,证明了领域约束型大语言模型在安全运营中的可行性。
-
Databricks推出AI驱动的SIEM以应对安全警报疲劳
Databricks 推出了 Lakewatch 和 Genie,这是一款旨在应对安全运营中心警报疲劳的“开放式代理SIEM”。这些工具旨在将分散的安全、IT和业务遥测数据统一到湖仓一体架构上,从而实现机器速度的威胁检测和响应。通过自动化数据整理和警报分类,该系统使人类分析师能够从手动任务转向战略监督,协调AI代理进行自主威胁中和。
-
Anthropic 的企业版 Claude 级别提供高级功能,但公司缺乏理解和准备。
Anthropic 的企业版 Claude 级别提供云托管代理和合规性 API 等高级功能,但许多企业可能并未完全理解或利用它们。该平台的复杂性,包括沙盒环境以及对 Docker 等工具的专业知识需求,带来了采用方面的挑战。关于有效的成本扩展、安全防护以及将合规性日志集成到现有安全信息和事件管理系统中的问题仍然存在。
-
Espresso Labs的AI Barista自动化中小企业网络安全执行和修复
Espresso Labs正在开发一个名为“AI Barista”的AI驱动系统,以解决中小企业(SMB)面临的网络安全挑战。该系统旨在超越单纯的威胁检测,实现自动化执行和修复,应对当前安全工具的复杂性和碎片化。通过充当自主操作员,AI Barista将处理隔离威胁和验证安全控制等任务,从而减轻不堪重负的IT人员的负担,并改善中小企业的整体安全状况。