使用 ChatGPT 提高安全运营中心的工作效率
对于 CISO 和安全分析师来说,管理安全运营中心 (SOC) 一直是个难题。寻找经验丰富、能够熟练使用和管理监控工具的网络安全专业人员是安全领域长期面临的挑战。此外,SOC 流程的发展速度不足以应对向云基础设施和云原生应用架构的快速转变。因此,SOC 员工不具备所有技能、流程和工具,无法快速识别和应对网络安全事件。
我们相信,使用先进的机器学习和大型语言模型 (LLM) 可以帮助优化安全流程并扩大事件解决 (IR)。只要考虑一下自动生成的事后事件报告和自动持续反馈循环的好处就可以了。
人工智能在事件解决中的作用
像 ChatGPT 这样的工具可以自动生成全面的事后报告。事件发生后,它可以查看发生了什么、讨论了什么以及事件是如何解决的。它还可以围绕系统拓扑检索指标、日志和其他元数据,为事件细节添加上下文。我们可以利用这些报告,决定采取什么行动,并将团队转变为更具弹性和前瞻性的团队。
与任何新工具一样,ChatGPT 也需要正确的监督和学习。人们需要掌握生成式人工智能工具,以确保其操作的准确性和可靠性。这需要严格的测试和验证。它还必须经过训练,并根据您的特定环境量身定制。它需要从包含大量上下文的丰富数据集中学习,这样当遇到它不知道的特定领域术语时,它就不会陷入困境。
有了明确的指导原则、定期审查、访问丰富的上下文驱动数据集和持续的反馈循环,我们就能做到这一点。LLM 的应用可以真正改变 SOC,减少操作劳累并提高生产率。
使用 PromptOps Slackbot
那么,如何使用 ChatGPT 等技术来捕获每个事件的对话和数据,并高效地实施更改呢?无论您是要收集事件证据,还是要创建端到端的 IR 流程,PromptOps Slackbot 都能为您提供帮助。PromptOps 可让您在 Slack 中存储围绕每个事件讨论的内容以及解决方式,而无需在不同平台之间移动。它还能识别要实施的变更,并代表用户自动生成票据。
让我们通过使用 PromptOps 创建事后调查并生成 JIRA 票据来应用更改。
1. 聆听事件通道中的讨论
将 PromptOps 视为事件通道中的记录员,积极倾听以响应您的问题和请求。
2. 在 Confluence 中捕获并存储整个对话内容
使用 PromptOps 系统地捕获、存储和共享根本原因分析和事后分析,以了解必要的背景情况。
PromptOps 可以根据您的 Slack 对话,围绕每个事件生成文档,包括事件摘要、故障时间表、相关人员、解决方案和纠正措施。有了这个工作流程,团队就能提高事件解决的速度和信任度。
3. 创建 Jira 票据
最后,PromptOps 可以根据需要实施的变更自动创建 Jira 票据。
我们收集事件证据和创建端到端 IR 流程的解决方案由 /store 命令提供支持。借助 Slack 的斜线命令集成,我们制作了 /store 命令,用于创建清晰的文档并将其存储到您选择的文档存储区,如 Confluence 或 Notion。文档可以现有模板的格式存储。
更重要的是,它能创建一个持续的反馈回路,以便更好地解决事件。例如,您使用 /store 命令在 Confluence 的回顾模板中总结了一个事件。另一天,团队遇到了同样的问题。但与其再次搜索 Slack 对话和知识库,不如直接询问 PromptOps。它会从您创建和存储的文档中提供准确的答案。
考虑到使用人工智能进行根本原因调查所节省的时间,以及使用 PromptOps 等人工智能工具收集证据的速度。如果根本原因调查后来被认为是错误的,那么保存与问题相关的各种指标的给定窗口大小将有助于未来的分析。
利用数据持续改进
由人工智能驱动的生成式知识库使我们能够拥有一个集中的最 佳实践库,即使是最环保的团队成员也能像老兵一样做出贡献。通过人工智能助手,我们旨在使组织获取有价值信息的途径民主化,并推动更快地解决问题。人工智能将使 SecOps 和 DevOps 团队能够在相同的环境下进行异步沟通和协作。
像 ChatGPT 这样的智能工具的最大优势在于它们会变得越来越智能。数据为它们提供了动力。通过捕捉对话并在我们的基础架构中获取相关数据,为其提供信息并观察其活动,我们可以获得比以往更多的洞察力。我们可以对工作流程进行微调,实现更多流程自动化,将效率提升到新的高度,同时减少错误。
如果能将 PromptOps 与您的 SOC 解决方案连接起来,并开始更智能地工作,那又何必辛辛苦苦呢?