Seiring dengan semakin canggihnya ancaman keamanan dan semakin kompleksnya lingkungan siber, penting untuk menemukan cara yang lebih efisien dalam mengelola operasi keamanan. Generative AI (GenAI) telah menarik perhatian dalam beberapa tahun terakhir, tetapi bagaimana cara memanfaatkannya untuk menyederhanakan alur kerja analis? Salah satu solusinya adalah menggunakan GenAI untuk mengotomatiskan tugas-tugas seperti mengonversi aturan SIGMA menjadi aturan korelasi. Dengan otomatisasi ini, analis tidak hanya mengurangi kesalahan manusia, tetapi juga mempercepat respons terhadap potensi ancaman, sehingga memperkuat pertahanan keamanan organisasi secara keseluruhan.
Mengotomatiskan Konversi Aturan SIGMA dengan GenAI
Menerjemahkan aturan SIGMA secara manual ke dalam format yang kompatibel dengan SIEM memakan waktu, rentan terhadap kesalahan, dan memerlukan pemahaman mendalam tentang model pengayaan data yang digunakan oleh SIEM. Berkat GenAI, analis dapat menyederhanakan proses ini secara signifikan melalui otomatisasi.
Dalam artikel ini, kami akan mengajarkan cara memanfaatkan GenAI untuk mengotomatiskan konversi aturan SIGMA menjadi aturan korelasi generasi berikutnya di Exabeam. AI dapat memahami logika dalam aturan SIGMA dan, dengan memanfaatkan pemetaan yang telah ditentukan sebelumnya, mengonversinya ke dalam bahasa kueri spesifik yang digunakan Exabeam untuk aturan korelasi.
Keuntungan Utama Otomatisasi Konversi Aturan SIGMA
- Efisiensi dan Kecepatan: Otomatisasi memungkinkan tim keamanan membuat aturan korelasi dengan lebih cepat. Alih-alih menafsirkan setiap aturan SIGMA secara manual dan menulis kueri Exabeam yang sesuai, GenAI dapat menyelesaikan tugas ini dalam hitungan detik hanya dengan mengunggah URL atau file YML.
- Konsistensi dan Akurasi: Penerjemahan manual rentan terhadap kesalahan, terutama saat menafsirkan kondisi yang kompleks atau menangani aturan dalam skala besar. GenAI memastikan konversi yang akurat dengan mengikuti pemetaan yang konsisten antara bidang SIGMA dan bahasa kueri Exabeam. Misalnya, aturan SIGMA yang mencari perintah command-line dengan kata kunci seperti “iex” dan “invoke-expression” dapat secara otomatis dikonversi ke dalam format Exabeam.
Ini memastikan bahwa logika yang sama diterapkan di berbagai platform, menghilangkan inkonsistensi.
- Skalabilitas: Seiring pertumbuhan organisasi, jumlah aturan deteksi dan platform yang harus mereka kelola juga meningkat. GenAI menyediakan solusi yang skalabel dengan mengotomatiskan pembuatan aturan ini, mengurangi beban kerja analis keamanan, dan memungkinkan mereka untuk lebih fokus pada tugas strategis seperti threat hunting dan respons insiden.
Komponen Kunci dalam Terjemahan Berbasis AI
Proses otomatisasi terjemahan melibatkan beberapa langkah. Pertama, AI menafsirkan aturan SIGMA dengan memahami logika deteksi, kondisi, dan pemetaan bidang data. Dengan menggunakan pemetaan yang telah ditentukan sebelumnya, seperti konversi bidang (CommandLine di SIGMA menjadi command_line di Exabeam), AI menerjemahkan setiap komponen ke dalam kueri Exabeam yang sesuai.
Sebagai contoh, aturan SIGMA yang mendeteksi file dmp mencurigakan, modifikasi registri, atau run keys:
Konversi ini, yang dilakukan secara otomatis dengan GenAI, memastikan akurasi sekaligus mempertahankan integritas logika deteksi.
Penggunaan Tambahan GenAI dalam Otomasi Keamanan
Exabeam memanfaatkan GenAI dan machine learning dalam berbagai bidang seperti prioritas peringatan, deteksi anomali secara real-time, dan threat hunting otomatis. Contoh di atas menunjukkan bagaimana teknologi baru ini dapat digunakan untuk lebih mengotomatiskan tugas-tugas yang berulang dan rentan terhadap kesalahan. Dengan otomatisasi ini, analis dan insinyur deteksi dapat terbebas dari tugas manual yang memakan waktu, sehingga mereka dapat fokus pada pekerjaan yang hanya bisa dan seharusnya dilakukan oleh manusia.
Mengotomatiskan Konversi Aturan SIGMA dengan Generative AI
Seperti semua alat GenAI, diperlukan beberapa input dan perintah untuk menjalankannya. Kasus berikut menunjukkan proses yang menggunakan ChatGPT, di mana pengguna dapat memberikan serangkaian instruksi untuk mengonversi aturan SIGMA menjadi aturan korelasi Exabeam. Konversi ini dapat dilakukan dengan beberapa cara:
- Menempelkan URL aturan SIGMA ke dalam bilah pesan
- Mengunggah file secara langsung
- Menyalin dan menempelkan teks lalu mengirimkannya sebagai bagian dari percakapan
Detail lebih lanjut mengenai proses pemetaan ini dapat ditemukan di bagian lampiran.
Gambar berikut menunjukkan contoh pengiriman URL langsung dari Red Canary untuk aturan SIGMA dalam format YML.
Sebagai alternatif, kita dapat langsung menyediakan file YML untuk diproses.
Terakhir, kita dapat menyalin dan menempelkan isi aturan SIGMA, dan alat ini akan mengonversinya menjadi aturan korelasi.
Kesimpulan
Manfaat menggunakan GenAI untuk mengonversi aturan SIGMA ke aturan korelasi Exabeam terletak pada konsistensi hasil dan penghematan waktu. Meskipun alat ini sangat berguna untuk mengotomatiskan dan menstandarkan konversi, kita perlu memastikan bahwa teknologi yang mendasarinya tidak “menghasilkan” solusi yang keliru. Disarankan untuk tidak secara membabi buta mengambil hasil dari konversi ini dan langsung menggunakannya dalam sistem produksi. Harap tinjau hasil konversi untuk memastikan akurasi.
Lampiran
Perintah berikut digunakan untuk memberi instruksi kepada model target agar mengonversi dari sintaks SIGMA asli ke Aturan Korelasi Exabeam.
Sebagai seorang insinyur keamanan senior, saya menggunakan pemetaan tertentu untuk menafsirkan logika deteksi dan mengonversinya ke dalam bahasa kueri berdasarkan aturan yang terperinci, memastikan bahwa semua kunci dalam kueri ditulis dengan huruf kecil. Anda akan membaca URL dari web. Fungsi wildcard (WLD) tidak memerlukan tanda bintang eksplisit karena ini sudah tersirat. Saat membuat aturan korelasi, gunakan pemetaan ini:
Untuk FieldName, manfaatkan bagian pemetaan bidang di bawah ini.
Contoh
Lalu akan di translate ke :
Dan bukan :
SearchLogic:
re.regex -> RGX(“string”)
contains -> WLD(“string”)
wildcard -> WLD(“string”)
startswith -> RGX(“^string”)
endswith -> RGX(“string$”)
cidr -> [x.x.x.x/y]
all -> field_name: “item1” AND field_name : “item2” AND field_name : “itemN”
any -> field_name:(“item1″,”item2″,”item3”)
not -> AND NOT field_name: “item1”
and -> field_name: “item1” AND field_name2: “item2”
or -> field_name: “item2” OR field_name: “item1”
Field Mapping:
ScriptBlockText -> scriptblock_text
EventID -> event_code
LogonType -> logon_type
UserName -> user
SrcIP -> src_ip
DstIP -> dest_ip
ParentImage -> parent_process_name
ProcessName -> process_name
FilePath -> file_path
CommandLine-> command_line
RegistryKey -> registry_key
Hashes -> md5
