Web používá soubory cookie k poskytování služeb v souladu se Zásadami souborů cookie. Můžete definovat podmínky pro ukládání nebo přístup k mechanismu cookies ve vašem prohlížeči.
Při analýze možností řešení, která nabízí Energy Logserver, nás zaujal přístup, jakým dokáže napodobit práci analytika v kanceláři SOC. Typická práce analytika zahrnuje rychlé rozpoznávání rozdílů v analyzovaných událostech, což vyžaduje zkušenosti a opakovaně vykonávané činnosti. Analytik posuzuje události na základě typičnosti pro infrastrukturu a hledá ty, které se vymykají očekávání. Rychlá statistická analýza logů mu umožňuje detekovat vzácná slova a analyzovat je v kontextu celé zprávy. Tento přístup je sice efektivní, ale omezený tím, co lze vidět na obrazovce.
Řešení Energy Logserver tuto myšlenku posouvá dál díky modulu Empowered AI. Pomocí umělé inteligence se podařilo vytvořit pravidlo, které napodobuje myšlenkový proces analytika – ale s větší přesností a rychlostí. Pravidlo „Detekce anomálií – Text“ analyzuje každý log z pohledu jednotlivých slov, která jej tvoří. Matematické funkce v Energy Logserver vypočítávají pravděpodobnost výskytu každého slova v analyzované sadě. Algoritmus poté sestaví slovník, který určuje pravděpodobnost výskytu jednotlivých slov. Slova, která se vyskytují často, nejsou předmětem zájmu, zatímco vzácná slova dostávají vyšší prioritu. Algoritmus jim přiděluje body – čím vzácnější slovo, tím vyšší skóre získá. Navíc sleduje, jak často se vzácná slova objevují v celém logu.
Příklad zachyceného záznamu
Text:
205.210.31.32 – – [20/Feb/2024:14:00:37 +0100] “GET / HTTP/1.1” 301 224 “-” “Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com” 0.125
Vzácná slova:
[‘would’, ‘ipv4’, ‘global’, ‘please’, ‘across’, ‘networks’, ‘company’, ‘per’, ‘internet’, ‘times’, ‘0.125’, ‘the’, ‘from’, ‘a’, ‘if’, ‘addresses/domains’, ‘multiple’, ’39’, ‘scans’, ‘expanse’, ‘space’, ‘alto’, ‘excluded’, ‘palo’, ‘send’, ‘scaninfo@paloaltonetworks.com’, ‘searches’, ‘day’, ‘you’, ‘205.210.31.32’, ‘identify’, ‘our’, ‘presences’, ‘ip’, ‘customers’]
Z těchto detekcí vyplývají následující výpočty:
Tentokrát se záznam ukázal jako neškodný – společnost Palo provádí průzkum trhu.
Díky přiřazování bodů za anomálie jednotlivým slovům i celým logům je možné porovnávat je a lépe identifikovat neobvyklé záznamy.
Graficky lze zobrazit, jak jsou body za anomálie logů distribuovány na ose.
Co nás čeká dál u Energy Logserver?
Tento systém má velký potenciál a další vylepšení jsou již na obzoru. Například: plánování pravidel Empowered AI, upozorňování na základě skóre anomálií, hodnocení anomálií v reálném čase, ukládání modelů, tvorba knihovny modelů pro různé zdroje a budování uživatelské komunity pro sdílení modelů. A to jsou jen některé z funkcí, které jsou připraveny k vydání.
Pro více informací nás prosím kontaktujte:
Vilém Raichel, vilem.raichel@bakotech.com +420 734 542 498
IČO: 17592062
IČO: 24804983