Purple AI, l’intelligenza artificiale generativa dedicata al threat hunting, presentata di recente da SentinelOne, è dedicata all’analisi e alla risposta alle minacce. Purple AI utilizza una varietà di modelli sia open source che proprietari e si propone di aumentare l’efficienza dell’organizzazione. Il tutto fornendo agli analisti della security un motore AI che aiuta a identificare, analizzare e mitigare le minacce utilizzando prompt e dialoghi interattivi.
Nel testo che vi proponiamo, Marco Rottigni, Technical Director per l’Italia di SentinelOne, ne spiega potenzialità e funzionalità.
Buona lettura.
Threat Hunting semplice con l’intelligenza artificiale conversazionale
Quando si tratta di threat hunting, identificare la query giusta per ottenere i migliori risultati non è mai facile. È necessario che l’analista capisca quali siano gli schemi da ricercare e abbia una certa conoscenza delle sintassi della query per tradurre domande apparentemente semplici in qualcosa di comprensibile per il sistema.
Con Purple AI, gli analisti possono ottenere risposte rapide, precise e dettagliate a qualsiasi domanda e in qualsiasi lingua. Purple AI consente ai threat hunters di porre domande su minacce specifiche e note e di ottenere risposte rapide senza dover creare, manualmente, query sugli indicatori di compromissione.
Da Purple AI approfondimenti contestuali basati sul comportamento e sulle anomalie
Ad esempio, l’analista può fare una domanda tipo “Il mio ambiente è infettato da SmoothOperator?”. Oppure: “Ho qualche indicatore di SmoothOperator sui miei endpoint?” al fine di individuare una minaccia specifica.
In risposta, Purple AI è in grado di fornire una tabella di risultati con approfondimenti contestuali basati sul comportamento osservato e sulle anomalie identificate nei dati restituiti. Inoltre, vengono fornite domande di follow-up e consigli su come procedere.
Purple AI viene utilizzato su tutti i dati presenti nel SentinelOne Security DataLake e consente di rispondere con un solo clic attraverso le varie integrazioni di SentinelOne XDR. Ogni domanda posta dall’analista viene eseguita senza che l’utente debba conoscere le varie fonti o il modo in cui i relativi dati vengono inseriti.
In altri casi, tuttavia, i threat hunters potrebbero non sapere cosa stanno cercando. Sfruttando le capacità e la velocità di Purple AI per utilizzare in modo intelligente le risorse interne ed esterne, gli utenti possono porre domande su attività sospette che potrebbero non essere in grado di individuare da soli.
L’analisi delle minacce diventa più semplice
È risaputo che un eccessivo numero di segnalazioni o falsi positivi è una delle sfide che i moderni centri operativi di sicurezza (SOC) devono gestire ogni giorno. La maggior parte dei team di sicurezza riceve più avvisi di sicurezza di quanti ne possa esaminare e risolvere. La questione è chiara: il problema della sicurezza è un problema di dati. Le informazioni si trasformano in conoscenza solo quando si applicano collegamenti significativi tra più punti di informazione, assemblando i dati contestualizzati in risultati utilizzabili.
Oltre ad aiutare i team di sicurezza a porre domande complesse per il threat hunting e a eseguire comandi operativi per gestire l’intero ambiente aziendale utilizzando il linguaggio naturale, Purple AI semplifica in modo significativo anche il processo di analisi delle minacce.
La capacità di Purple AI di comprendere i dati raccolti e la sua conoscenza del settore della sicurezza consentono di determinare rapidamente ciò che sta accadendo e di riassumere una situazione potenzialmente complessa per l’analista.
Purple AI perfetta anche per i team di sicurezza meno esperti
La potente combinazione della tecnologia Storylines di SentinelOne e Purple AI permette agli analisti non solo di trovare rapidamente tutti gli eventi associati a una specifica attività sospetta, ma anche di poter disporre di un resoconto e di una valutazione della pericolosità in un batter d’occhio. In pochi secondi, Purple AI fornisce approfondimenti sul fenomeno identificato e suggerisce come affrontarlo, eliminando così la necessità di analizzare e ricomporre manualmente eventi diversi in un’unica analisi contestuale. Questo migliora notevolmente l’efficienza degli analisti, consentendo loro di indagare e gestire un numero molto maggiore di avvisi in un tempo significativamente inferiore.
Purple AI è un’intelligenza artificiale generativa integrata che consente a threat hunters e analisti dei team SOC di sfruttare la potenza degli LLM all’interno della console SentinelOne per identificare e rispondere agli attacchi in modo più rapido e semplificato. Grazie all’utilizzo di messaggi e risposte in linguaggio naturale, anche i team di sicurezza meno esperti o con poche risorse possono rapidamente individuare comportamenti sospetti e dannosi che finora potevano essere scoperti solo da analisti altamente qualificati che dovevano dedicare parecchie ore di lavoro.