Kto potrebuje SOC a kedy to bolí najviac

Belko rozlišuje viacero typov organizácií: tie, ktoré ešte incident nezažili, proaktívnych, „po incidente“, „po audite“ a tých, ktorým velia regulácie ako zákon o kybernetickej bezpečnosti či NIS2. Najrýchlejšie napredujú tí po incidente – majú motiváciu a vedia sa rozhodovať, zatiaľ čo „po audite“ riešia skôr to, čo im niekto označil ako problém. Bežná realita však je, že organizácia kúpi drahé nástroje a pri prvom pohľade na množstvo dashboardov nevie, kde začať. Vtedy nastupujú improvizované dotazy do GPT a hľadanie odpovedí „za jazdy“ – čo funguje, ale dá sa to urobiť systematickejšie.

AI v SOC: rozumie otázke, pripraví report a urobí zásah

Príkladom je nasadenie asistenta vo FortiAnalyzeri, kde analytik jednoducho povie, že v top kategórii vidí kompromitovaný host a pýta si súvislosti. Systém automaticky doplní IP adresu, zhrnie situáciu do prehľadného reportu a na požiadanie rozpitvá najviac zaťažené procesy či podozrivé komunikačné kanály. Ak sa podozrenie potvrdí, analytik priamo z rozhrania prikáže bezpečnostnému agentovi (EDR) ukončiť proces a stroj pre istotu zadržať v karanténe. Podobne v prostredí automatizácie vie asistent k alertu vygenerovať zrozumiteľné zhrnutie a pripraviť šablónu odovzdávky pre ďalšieho kolegu.

Kľúčové je, že otázka používateľa sa pred odoslaním do LLM (či už OpenAI, Bard alebo vlastného modelu) obohatí o interné znalosti a očistí o nepodstatné údaje, aby odpoveď bola presná a bezpečná. Dáta zostávajú v privátnom tenantovi a nepoužívajú sa na tréning modelov, čo adresuje najčastejšie obavy. Asistent už rozumie slovenčine, hoci odpoveď môže prísť v angličtine, a k dispozícii má aj navrhované doplňujúce otázky, ktoré analytika vedú správnym smerom. Riešenie je otvorené integráciám s nástrojmi iných výrobcov, takže AI vie priniesť pridanú hodnotu aj v heterogénnom prostredí.