因此，過去傳統的資安監控與防禦機制需要再進化，安全資訊與事件管理平台（SIEM）不僅能分析日誌偵測威脅、產出報表符合法規，如今還將整合生成式 AI 技術，讓資安事件處理與回應流程更快速且自動化，資安人員終於可以準時下班。

自動化資安解決方案：立即分析事件、快速反應並採取行動
AI 或機器學習的技術在整個駭客攻擊鏈各環節中隨處可見，不管是網路釣魚郵件、惡意程式加殼加花、找尋受害目標可被利用的弱點等，透過 AI 都能更輕易且迅速地達成，讓企業防不勝防，也因此全球網路攻擊事故始終居高不下。但近年來資安解決方案也大幅採用 AI 技術，包括偵測網路封包異常或偵測是否有可疑的使用者行為等，以便能在攻擊真正發生前先行阻擋。根據市調機構 Verified Market Research 的報告，AI 資安解決方案的市場規模將從 2022 年 75.8 億美元成長到 2030 年 808.3 億美元。

AI 資安解決方案不僅能學習網路系統正常行為模式，以偵測異常並提前預警，更能做到 7x24 的自動監控，並在攻擊危害發生前，自動採取應對措施，且自然語言處理（Natural Language Processing）也能用於挖掘文本的數據來源，有助於威脅情資的搜集。根據 IBM 報告指出，透過 AI 技術，企業偵測到網路威脅事件並採取應對措施的時間將平均縮短 14 週。此外，過去透過資安人員以人工分析事件到採取行動約需花上數小時到幾天不等的時間，但在 AI 資安解決方案的協助下，在幾分鐘之內即可完成。一旦能更快速發現攻擊事件，對企業的損害也就能降低。

當 Microsoft Sentinel 遇上 OpenAI 彈指之間完成資安事件調查
雲原生的SIEM平台Microsoft Sentinel，能匯集來自雲端、地端系統及第三方資安設備的日誌進行分析以偵測威脅，並內建自動化及協調功能可主動因應安全事件做出回應。如今 Microsoft Sentinel 更內建連接器（Connector）串連 Azure OpenAI 模型，大幅簡化資安事件處理流程。以下為 Microsoft Sentinel 結合 Azure OpenAI 並以 MITRE Att&ck 為框架的資安事件處理應用說明。

首先，當 Microsoft Sentinel 偵測到可疑事件並觸發Incident trigger時，Azure OpenAI 可立即解釋該事件中攻擊者使用何種「MITRE Att&ck策略及技術」，包括所使用的惡意程式、用來躲避偵測的方法等資訊，如圖 1。

圖一、Azure OpenAI 說明該事件中攻擊者使用何種「MITRE Att&ck策略及技術」

接著更可自動透過 Azure OpenAI 得知應如何進一步調查事件，及建議應採取的應對措施。例如在 AD 群組發現新增可疑的訪客帳號時，Azure OpenAI 建議進行搜查過去 5 天內新增的訪客帳號，並建議新增一條規則來通報可疑的新訪客帳號，以及監控相關帳號的認證與存取行為等 10 項任務，如圖 2。

圖 2、Azure OpenAI 調查新訪客帳號並建議通報可疑帳號的規則

Azure OpenAI 接下來能根據先前的任務建議相對應的 KQL 查詢指令，如圖3。如此 資安人員能輕鬆地查詢 Microsoft Sentinel 中的特定事件或日誌資料，並獲得更多關於該起事件的資訊，以便於快速找出攻擊事件的原因與範圍。

圖3、Azure OpenAI 根據任務建議對應 KQL 查詢指令

蔚藍雲專業技術團隊 助力企業導入AI技術 提升企業資安韌性
透過 Microsoft Sentinel 與 Azure OpenAI 的結合，不僅能更迅速完成資安事件調查，兩者的結合有如資安事件處理知識庫，過去需仰賴資深資安分析師的經驗進行手動排除等相關調查作業，未來在 Microsoft Sentinel與 Azure OpenAI 的協助下，可望讓資安新手能更快熟練事件調查程序，補足資安人力配置。蔚藍雲擁有完整資安顧問諮詢規劃實務經驗及專業技術團隊，除了能透過全面性的策略評估，協助企業了解目前的資安能力與可能存在的漏洞外，後續更有技術團隊能協助企業導入 AI 技術，透過智慧型安全性分析和威脅情報，進而減少資安人員的工作負擔外，更能提升企業資安韌性 。