COMPUTAÇÃO EM NUVEM

Agentic AI para turbinar sua caça

janeiro 31, 2026
José Peixoto Vieira Filho


A caça a ameaças é uma estratégia crítica e proativa para descobrir ameaças ocultas e impulsionar a melhoria da segurança, mas as equipes de segurança estão ocupadas e até mesmo os caçadores mais experientes enfrentam restrições de tempo e recursos.

A preparação da caça é uma fase de caça particularmente essential, que envolve pesquisas profundas sobre os atores, técnicas e dados de segurança interna da ameaça. No entanto, muitas vezes é demorado, tedioso e, sejamos honestos, às vezes é ignorado ou abreviado. O resultado? Caçadas que são menos eficazes, inconsistentes e não conseguem entregar o valor máximo.

No Surto por IA da Fundação Ciscoacreditamos na capacitação dos defensores com tecnologia de ponta. É por isso que estamos entusiasmados em anunciar o lançamento de O assistente de caça a ameaças PEAKuma ferramenta inovadora e de código aberto projetada para transformar e acelerar a pesquisa e o planejamento de caças a ameaças baseadas em hipóteses. Assim como nosso trabalho anterior explorando IA de agente, este projeto foi projetado para experimentar a implementação prática de agentes para auxiliar os profissionais de segurança em um cenário do mundo actual.

O desafio: sobrecarga de pesquisa na caça a ameaças

O Estrutura de caça a ameaças PEAKque apresentamos há dois anos, fornece uma abordagem estruturada e independente de fornecedor para a caça, enfatizando três fases: Preparar, Executar e Agir, sendo o Conhecimento um componente essential de cada uma. Embora o próprio quadro ofereça orientações inestimáveis, a investigação e o planeamento iniciais na fase de “Preparação” podem constituir um obstáculo significativo. Os caçadores de ameaças devem:

  • Pesquise comportamentos e técnicas complexas de atores de ameaças.
  • Vasculhe fontes públicas em busca das informações mais recentes.
  • Discover wikis internos, tickets de incidentes e bancos de dados de inteligência contra ameaças.
  • Identifique fontes de dados relevantes em seu SIEM.
  • Decide quais técnicas de análise usar com seus dados para apoiar ou refutar sua hipótese de caça.

Esse mergulho profundo é essencial para a elaboração de hipóteses e planos de caça eficazes, mas pode ser um gargalo, levando à fadiga e à sobrecarga mesmo antes do início da caça.

A solução: um assistente inteligente e agente

O PEAK Menace Searching Assistant é uma virada de jogo para aqueles que lutam para encontrar tempo para pesquisar e planejar adequadamente suas caçadas. Aproveitando a IA inteligente, ele atua como seu analista de pesquisa pessoal, reunindo e sintetizando grandes quantidades de informações para fornecer um plano de caça personalizado e prático em minutos, em vez de horas ou dias. Isto não é apenas automação; trata-se de assistência inteligente que funciona com o caçador humano.

Agentic AI para turbinar sua caçaAgentic AI para turbinar sua caça

Especificamente, o PEAK Assistant utiliza equipes de agentes para auxiliar nas seguintes tarefas:

  • Pesquisa pública baseada na Web sobre atores, táticas e técnicas de ameaças
  • Pesquisa privada através de seus próprios dados de segurança para incorporar as experiências anteriores da sua organização com o assunto da sua caça
  • Geração e refinamento de hipóteses
  • Escopo por meio do PEAK Tabela ABLE
  • Descoberta automatizada de dados SIEM relevantes
  • Geração de um plano de caça passo a passo personalizado, com exemplos de consultas e orientações de interpretação integradas

Como funciona: IA Agentic com controle Human-in-the-Loop

Basicamente, o PEAK Assistant é um sistema de IA agente criado por caçadores de ameaças para caçadores de ameaças. Ele vai além de simples chamadas de Massive Language Mannequin (LLM) e é projetado em torno de equipes de agentes cooperantes capazes de raciocínio direcionado a objetivos, uso de ferramentas e ciclos de suggestions automatizados.

Um princípio basic de design é suggestions humano no circuito. Você pode “bater um papo” com o PEAK Assistant a qualquer momento para orientar sua pesquisa, esclarecer descobertas ou incorporar requisitos exclusivos da sua organização. Isso garante que o resultado seja sempre relevante e alinhado com seus objetivos e ambiente de caça específicos.

Flexibilidade: a chave para o sucesso da IA

Na Cisco Basis AI, acreditamos que a flexibilidade e a escolha do usuário são uma das chaves para uma implantação bem-sucedida de IA, e isso é especialmente verdadeiro para aplicações de segurança cibernética. O PEAK Assistant foi projetado para fornecer o máximo de flexibilidade quando se trata de escolha de modelo e acesso a dados.

Traga seus próprios modelos (BYOM)

Nossa abordagem “traga seus próprios modelos” significa que os usuários podem integrar seus LLMs preferidos, incluindo o próprio software program de código aberto e focado em segurança da Cisco Basis AI. Fundação-Sec-8b-Instruir modelo. Essa flexibilidade permite um controle refinado. Você pode mudar facilmente de um LLM (ou provedor) para outro a qualquer momento, usando o mesmo modelo para todas as tarefas de agência.

Você pode até combinar modelos de vários provedores, atribuindo LLMs específicos para diferentes tarefas ou tipos de dados. Por exemplo, alguns agentes podem beneficiar de um pensamento mais intenso, embora este possa ser mais lento e mais caro. Selecionar um modelo de raciocínio para essas tarefas específicas pode fazer muito sentido.

Com nossa abordagem BYOM, você é livre para escolher qualquer combinação de modelos que ofereça os melhores resultados, atenda às suas políticas de uso de IA e se ajuste ao seu orçamento.

Servidores MCP fornecidos pelo usuário

O PEAK Assistant também foi desenvolvido para oferecer flexibilidade de dados. Em vez de suporte de código para fontes de dados e SIEMs específicos, ele depende de servidores MCP (Mannequin Context Protocol) configurados pelo usuário para operações de dados:

  1. Pesquisa na Web:Consulta fontes públicas para obter as informações mais recentes sobre ameaças. Você fornece o servidor MCP para pesquisa na Web, garantindo o controle do acesso a dados externos.
  2. Dados de segurança native:Fundamentalmente, o PEAK Assistant pode acessar suas fontes de dados internas, como tickets de incidentes, wikis de caça e bancos de dados privados de inteligência contra ameaças. Para evitar o vazamento de dados confidenciais, o PEAK Assistant usa uma equipe separada de agentes para acesso native aos dados. Você fornece ao MCP acesso a essas fontes locais, mantendo uma governança de dados rigorosa.
  3. Descoberta e pesquisas de dados SIEM:É aqui que o PEAK Assistant realmente brilha ao adaptar a caça paraseuambiente. Ele pode consultar seu SIEM existente para identificar automaticamente fontes e campos de dados relevantes. Isso é inestimável para navegar em ambientes desconhecidos, como durante uma fusão ou aquisição, ou para um MSSP integrar um novo cliente. Embora você possa fornecer “dicas” com conhecimento prévio, o PEAK Assistant pode descobrir esses detalhes sozinho.

Resultado abrangente e acionável

O PEAK Assistant não apenas despeja dados brutos. Processa e apresenta de forma inteligente as informações coletadas em relatórios estruturados e de fácil digestão:

  • Relatório resumido de pesquisa na Web:Este relatório detalhado explica o ator ou a técnica da ameaça (em linguagem simples), por que ela é usada, como funciona, quais fontes de log são relevantes para caçá-la e detalhes de quaisquer detecções publicadas ou caças anteriores.
  • Relatório de pesquisa de dados locais:Um relatório separado compila insights de seus dados internos, destacando interações anteriores com agentes de ameaças, incidentes passados ​​envolvendo técnicas específicas ou inteligência de ameaças internas relevantes. Isso garante que todo o conhecimento disponível seja aproveitado sem comprometer a segurança dos dados.
  • Plano de caça personalizado:O ponto culminante do trabalho do PEAK Assistant é um plano de busca personalizado, meticulosamente adaptado à sua hipótese, aos dados disponíveis e ao seu ambiente computacional. Este plano inclui instruções passo a passo com consultas reais do SIEM e orientações claras sobre como interpretar os resultados de cada etapa.

Capacitando caçadores de ameaças de todos os níveis

O PEAK Menace Searching Assistant foi projetado para caçadores de ameaças em todas as fases de sua carreira. Serve como um poderoso multiplicador de força:

  • Eleva novos caçadores:Ao fornecer pesquisas abrangentes e planos de caça estruturados, melhora significativamente a qualidade e a profundidade dos resultados, ao mesmo tempo que ensina uma boa preparação para a caça através do exemplo.
  • Acelera caçadores experientes:Para profissionais experientes, reduz drasticamente o tempo gasto em pesquisas rotineiras, permitindo-lhes concentrar-se em análises complexas e na tomada de decisões estratégicas.

Esta ferramenta garante que cada caçada comece com inteligência abrangente e informada, transformando a preparação muitas vezes tediosa numa vantagem estratégica.

Comece hoje

O PEAK Menace Searching Assistant aproveita a IA agente, capacitando caçadores de ameaças de todos os níveis a conduzir pesquisas de alta qualidade guiadas por humanos com rapidez e facilidade. Ele transforma a muitas vezes tediosa fase de “Preparação” em uma vantagem estratégica, garantindo que cada caçada comece com um plano abrangente e informado, adaptado às suas necessidades exatas.

Nós convidamos você a dar O assistente de caça a ameaças PEAK experimente e experimente o futuro da preparação para a caça. Seu suggestions é inestimável à medida que continuamos a desenvolver esta ferramenta poderosa.

Adoraríamos ouvir o que você pensa! Faça uma pergunta e fique conectado com a Cisco Safety nas redes sociais.

Mídias sociais de segurança da Cisco

LinkedIn
Fb
Instagram
X



Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *