SentinelOne ha recentemente presentato Purple AI, un’intelligenza artificiale generativa dedicata al threat hunting, all’analisi e alla risposta alle minacce. Purple AI utilizza una varietà di modelli sia open source che proprietari e si propone di aumentare l’efficienza dell’organizzazione fornendo agli analisti della security un motore AI che aiuta a identificare, analizzare e mitigare le minacce utilizzando prompt e dialoghi interattivi.
L’attività di Threat Hunting si semplifica grazie all’intelligenza artificiale conversazionale
Quando si tratta di threat hunting, identificare la query giusta per ottenere i migliori risultati non è mai facile. È necessario che l’analista capisca quali siano gli schemi da ricercare e abbia una certa conoscenza delle sintassi della query per tradurre domande apparentemente semplici in qualcosa di comprensibile per il sistema.
Con Purple AI, gli analisti possono ottenere risposte rapide, precise e dettagliate a qualsiasi domanda e in qualsiasi lingua.
I dati noti
Purple AI consente ai threat hunters di porre domande su minacce specifiche e note e di ottenere risposte rapide senza dover creare, manualmente, query sugli indicatori di compromissione.
Ad esempio, l’analista può fare una domanda tipo “Il mio ambiente è infettato da SmoothOperator?”, oppure “Ho qualche indicatore di SmoothOperator sui miei endpoint?” al fine di individuare una minaccia specifica.
In risposta, Purple AI è in grado di fornire una tabella di risultati con approfondimenti contestuali basati sul comportamento osservato e sulle anomalie identificate nei dati restituiti. Inoltre, vengono fornite domande di follow-up e consigli su come procedere.
Purple AI viene utilizzato su tutti i dati presenti nel SentinelOne Security DataLake e consente di rispondere con un solo clic attraverso le varie integrazioni di SentinelOne XDR. Ogni domanda posta dall’analista viene eseguita senza che l’utente debba conoscere le varie fonti o il modo in cui i relativi dati vengono inseriti.
I dati sconosciuti
In altri casi, tuttavia, i threat hunters potrebbero non sapere cosa stanno cercando. Sfruttando le capacità e la velocità di Purple AI per utilizzare in modo intelligente le risorse interne ed esterne, gli utenti possono porre domande su attività sospette che potrebbero non essere in grado di individuare da soli.
L’analisi delle minacce diventa più semplice
È risaputo che un eccessivo numero di segnalazioni o falsi positivi è una delle sfide che i moderni centri operativi di sicurezza (SOC) devono gestire ogni giorno. La maggior parte dei team di sicurezza riceve più avvisi di sicurezza di quanti ne possa esaminare e risolvere. La questione è chiara: il problema della sicurezza è un problema di dati. Le informazioni si trasformano in conoscenza solo quando si applicano collegamenti significativi tra più punti di informazione, assemblando i dati contestualizzati in risultati utilizzabili.
Oltre ad aiutare i team di sicurezza a porre domande complesse per il threat hunting e a eseguire comandi operativi per gestire l’intero ambiente aziendale utilizzando il linguaggio naturale, Purple AI semplifica in modo significativo anche il processo di analisi delle minacce.
La capacità di Purple AI di comprendere i dati raccolti e la sua conoscenza del settore della sicurezza consentono di determinare rapidamente ciò che sta accadendo e di riassumere una situazione potenzialmente complessa per l’analista.
La potente combinazione della tecnologia Storylines di SentinelOne e Purple AI permette agli analisti non solo di trovare rapidamente tutti gli eventi associati a una specifica attività sospetta, ma anche di poter disporre di un resoconto e di una valutazione della pericolosità in un batter d’occhio. In pochi secondi, Purple AI fornisce approfondimenti sul fenomeno identificato e suggerisce come affrontarlo, eliminando così la necessità di analizzare e ricomporre manualmente eventi diversi in un’unica analisi contestuale. Questo migliora notevolmente l’efficienza degli analisti, consentendo loro di indagare e gestire un numero molto maggiore di avvisi in un tempo significativamente inferiore.
