关于 Zoho 的 Zia Insights
最后更新于:
ManageEngine Log360 采用 Zoho 的 Zia Insights 人工智能引擎,可增强日志分析、威胁检测和事件响应能力。通过运用情境化人工智能,Zia Insights 将原始日志、安全事件、审计轨迹、告警和事件转化为可操作的洞察,助您快速识别风险、获取事件背景信息、制定可能的缓解措施,并通过尽可能将 MITRE ATT&CK® 技术映射到事件中实现有效分析,从而创造附加价值。
Zia Insights 工作原理
本节详述 Zia Insights 的底层架构与运作机制。该功能采用 Azure Open AI 的自带密钥(BYOK)模式运行。通过处理日志、告警和事件,Zia Insights 可生成情境化摘要、标注潜在风险、将相关活动映射至 MITRE ATT&CK® 技术,并建议可行的修复步骤。这些洞察能帮助安全团队更深入理解事件背景,加速调查进程,强化响应策略。
Zia Insights工作流
1. 调用 Zia Insights
当用户通过选择特定日志、告警或事件发起洞察请求时,工作流即启动。此操作将触发 Zia Insights 引擎开始分析。
调用后,产品控制台将自动检索所选项关联的所有相关数据。根据用户请求类型,数据涵盖原始日志、事件元数据、告警上下文或事件时间线。这些收集信息构成输入层,是洞察生成过程的关键基础。
输入层整合了广泛的安全数据源,包括:
- 安全事件、系统日志和网络活动:从终端设备、防火墙、云基础设施及其他受监控系统收集
- 告警与检测(关联告警):通过基于规则的关联告警触发
- 安全事件、调查案例及升级事件:与安全运营中心团队正在审查的当前或历史威胁相关的数据
该综合数据集确保Zia Insights拥有生成可操作洞察所需的全局上下文。
2. 洞察生成
相关安全数据收集完毕后,将传递至Zia Insights 核心引擎。该引擎借助Azure OpenAI的能力,将原始数据转化为情境化洞察。
Zia Insights将检索到的数据与预定义指令集(称为提示词)配对。该提示词定义了系统对数据的解读方式及输出结构。
随后Zia Insights通过多个核心组件处理数据:
- 上下文分析器
重建事件时间线,识别关键操作及潜在威胁分类。
- MITRE ATT&CK®映射器
基于MITRE ATT&CK®框架将检测到的行为与已知攻击者战术技术进行匹配,协助安全运营中心团队理解潜在威胁阶段。
- 修复AI
针对具体场景定制调查步骤、隔离策略及恢复建议。
3. Zia Insights的输出成果
经输入数据处理与分析后,Zia Insights生成可操作且具备情境感知能力的结构化输出。结果核心组件包括:
情境摘要
通过时间线、关键指标及影响分析对事件进行概括
- 时间线:重构相关事件的发生顺序,提供时间维度清晰度
- 关键指标:突出显示重要信息,如源IP地址、用户账户及进程。
- 影响分析:评估事件对系统、用户或业务运营的潜在影响,协助团队优先响应。
MITRE ATT&CK®映射
基于观测到的行为特征,Zia Insights将活动映射至对应的MITRE ATT&CK®战术与技术体系。此举实现威胁分类标准化,并为调查与威胁狩猎提供支持。
潜在修复方案
Zia Insights提供建议调查步骤、即时遏制措施及故障排除指南,支持及时且明智的行动决策。
Zia Insights的优势
Zia Insights赋能安全运营中心(SOC)团队的调查流程,以前所未有的速度有效缓解或消除威胁。它使SOC专业人员能够:
- 主动追踪隐蔽指标:利用Zia Insights中的摘要、洞察和 时间线 功能,主动发掘隐蔽的入侵迹象。这些模块可快速标注相关事件、行为体及实体。
- 加速调查:通过自动提供上下文信息,识别行为者与实体,并基于MITRE ATT&CK®框架映射呈现攻击链。
- 实现快速修复:针对检测到的威胁和日志类型,提供具体可行的操作步骤。
- 增强威胁情报:持续将事件映射至MITRE ATT&CK®,构建针对攻击者战术的机构知识库。
- 优化分析师效率:将初始分析与信息收集任务交由AI处理,使人工分析师专注于关键决策与战略防御。
延伸阅读
本文详述了 Zia Insights 的工作原理及核心应用场景。有关配置与运用 Zia Insights 功能的指南,请参阅以下文章: