Zenn
🐯

NEXT23で発表された Duet AI in Chronicle Security Operations について解説してみた

2023/09/05に公開
Security
Google Cloud
Duet AI
#
chronicle
Google Cloud Next
tech

はじめに

top
ホテルから見たNEXT23の広告

こんにちは、SRE ディビジョンに所属している Shanks と申します。
Google Cloud のイベント「NEXT 23」が米国カリフォルニア州サンフランシスコにて開催されました。
弊社からは筆者含め30人ほどのメンバーで参加し、新プロダクトのキャッチアップや Google Cloud の動向を調査してまいりました。
その中でも注目トピックについては、弊社のコラム記事として掲載しておりますので、よろしければご覧ください。
(筆者も GKE Enterprise の記事を共同執筆しております。)

本記事では、NEXT 23 で発表された「Duet AI in Chronicle Security Operations」について、深掘り解説します。
特に Google Cloud でシステムをホストしていて、セキュリティ対策・運用保守の目的で Chronicle を利用した異常検知機構を導入しているお客様に注目いただきたい内容となっております。

KeyNote

https://www.youtube.com/live/lEUS3_Qjyjg?feature=shared
https://www.youtube.com/live/268jdNwH6AM?feature=shared

GKE Enterprise コラム記事

https://cloud-ace.jp/column/detail442/

Duet AI in Chronicle Security Operations とは

プロダクト概要

with-ai
Duet AI in Chronicle Security Operations とは、NEXT 23で発表された生成AIである「Duet AI」を用いて Chronicle によるセキュリティ対策を支援するソリューションです。
セキュリティ対策には継続的な見直し運用と広範囲に及ぶ深いセキュリティ知識の学習が求められ、システム運用の大きな壁となってきました。
この課題に対し、解決策となるのが「Duet AI in Chronicle Security Operations」です。

従来までの課題

problem

Google Cloud 上でホストされたシステムに対し、脅威やマルウェアの分析を行う方法として「Chronicle for Google Cloud」が現在提供されています。

しかし、従来では脅威の分析において手動で1つ1つ丁寧に調査していく必要がありました。
また、Chronicle の検索クエリ構文を理解しておく必要があり、この学習コストは低いものではありませんでした。
これは、システム管理者がセキュリティの深い知識を求められることを意味します。
セキュリティチームも同様に、高度かつ大きな運用負荷を背負うことに繋がっていました。

この課題を解決するため、NEXT 23 でお披露目された生成 AI「Duet AI」を用いてシステム管理者やセキュリティチームのオペレーションを支援するのが「Duet AI in Chronicle Security Operations」です。(以下、Duet AI in Chronicle とする)

Duet AI in Chronicle のキーポイント

solution
Duet AI はその名のとおりユーザとデュエットする、つまり伴走するような動きがキーポイントです。

つまり、従来まで実施していたシステム管理者・セキュリティチームの仕事を Duet AI が完全に奪うわけではありません。
Duet AI と対話するプロンプトが画面上に現れ、お手伝いをしてくれるコンシェルジュやアシスタントのようなイメージです。

そのため、完全な自動化を目的としていないことにご注意ください。

Duet AI in Chronicle でできること

自然言語による検索

toil
Chronicle のページ中に Duet AI のプロンプトを表示させ、自然言語(英語)にて対話することで、Chronicle のクエリ構文を Duet AI が自動生成し提示してくれます。

具体的には、ユーザが分析・調査したい内容を自然言語で Duet AI に指示し、Duet AI はそれに従って Chronicle で利用可能なクエリを生成し、ユーザへ提示します。
提示された情報に対し、ユーザは情報の取捨選択をしながら継続してプロンプトによる Duet AI との対話を試みるか、提示された情報を採用するかを検討できます。

これにより、より直感的に脅威の分析ができるだけでなく、クエリ構文の学習コストを低く抑えることが可能です。
※ Chronicle そのものやセキュリティの学習コストを削減するものではありません。
※ あくまで知識あるユーザのアシスタントをするものと捉えてください。

脅威調査のアシスタント

クエリ検索と同様、脅威の調査についても Duet AI がアシスタントとして推奨事項の提示を行います。
そのため、検索クエリの生成・検索結果の分析・脅威の調査・対応策の検討まで一気通貫で Duet AI がサポートします。
※ Chronicle そのものやセキュリティの学習コストを削減するものではありません。
※ あくまで知識あるユーザのアシスタントをするものと捉えてください。

検出ルールの自動生成

our-ai
Chronicle の脅威検出には事前定義したルールを適用することができます。
注意していただきたいのは、上記2つについては異常を検知した際の対応時に利用されるのに対し、検出ルールの保守は正常運用時において継続的に行われる仕事であるということです。

脅威(マルウェアの種類・攻撃手法、等)は日々多様な進化・変化を遂げており、悪意ある第三者は毎日様々な手法を開拓しては攻撃を仕掛けてきます。
そのため、検出ルールも継続的に見直しをしていく必要があり、いたちごっこになりがちで、さらには大きな運用負荷となっていました。

そのため、今回のアップデートとして、Vertex AI 等 を用いて CI/CD パイプラインとしてプレイブックの継続的な更新を組み込むことで、DevSecOps の実現が可能になりました。
これにより、Duet AI と対話しながらプレイブックを生成したり、Vertex AI による継続的な更新を自動化する DevSecOps 実現に大きく役立ちます。

まとめ

Duet AI in Chronicle Security Operations は、Duet AI を用いて Chronicle の脅威分析を支援 するソリューションです。
これによって、企業・団体は Duet AI の支援を受けながら Chronicle を用いた迅速な対応と、適切な運用促進を実現できます。

現在は Preview 段階であるということから概要の説明のみとなりましたが、実際の環境にて構築をした際には当社技術ブログにてより詳細な情報を紹介させていただきます。

Discussion