Generatived（Beta）｜生成AIの最新ニュースとトレンドを提供

セキュリティチームは、非構造化脅威データを実用的な防御戦略に変換するという大きな課題に直面しています。複雑な文書から戦術、手法、手順（TTP）を抽出し、それらを標準的な分類法にマッピングする初期ステップは、特に時間がかかります。この問題を解決するため、検知エンジニアリングのプロセスを迅速化するためのAI支援ワークフローが開発されました。このワークフローは、様々なセキュリティ文書から構造化された分析を作成し、候補となるTTPを特定し、MITRE ATT&CKフレームワークに整合させ、最終的に既存の検知カタログとのギャップ分析を実行します。

AIワークフローは、レッドチームレポートや脅威アクタープロファイルなどのセキュリティアーティファクトを取り込み、コンテキストのために元の構造を維持しながら、機械可読なセグメントに分解することから始まります。次に、大規模言語モデル（LLM）を用いてTTPと関連メタデータを抽出し、MITRE ATT&CKフレームワークにマッピングします。このマッピングプロセスは、攻撃パターンと潜在的な脆弱性の理解を標準化するように設計されています。

ワークフローの重要な要素は、抽出されたTTPを既存の検出カタログと比較し、対象となる動作と潜在的なギャップを特定することです。これには、ベクトル類似性検索とLLMベースの検証が含まれており、正確な結果を保証します。最終的な出力は、防御担当者に優先順位の高い検出機会を提供しますが、これらの発見事項は特定の環境における実証的な検証を通じて確認することが推奨されます。

AIによって効率性は向上しますが、最終的な確認には人間の専門知識が不可欠です。このワークフローは、初期分析にかかる時間を短縮し、専門家が発見事項の検証と検出の微調整に集中できるようにします。Microsoft Defender Security ResearchとFatih Bulutが協力したこの研究は、人間参加型検証の重要性を強調し、不一致への対応計画やプロンプトコンテキストの最適化など、セキュリティ分析におけるAIの活用に関する実践的なアドバイスを提供しています。AIを活用したアプローチは、セキュリティ専門家と同等の結果をもたらすことが示されており、検出範囲分析の効率を大幅に向上できることを示唆しています。