利用Chat GPT和D3的AI辅助事件响应

除非你生活在岩石下，否则你可能已经听说过ChatGPT，一个由OpenAI训练的大型语言模型。你可能也听说过Smart SOAR，我们的安全协调、自动化和响应（SOAR）平台。通过将ChatGPT的自然语言处理能力与Smart SOAR的自动化和协调功能相结合，安全团队可以自动接收安全事件的宝贵背景和洞察力，减轻分析师的负担并改善响应时间。

在这篇博客中，我们将探讨将ChatGPT与Smart SOAR整合的好处，并概述如何在恶意软件调查中使用它，以提供攻击的背景，建议下一步行动，并从调查员的角度写一个总结。

AI辅助的事件响应调查

了解攻击的起源、攻击者的动机以及攻击者下一次可能出现的地方可以为调查建立背景，并为您的事件响应工作提供信息。通过自动化的方式大规模地进行这项工作，可以防止分析师的倦怠并简化调查。

在这个例子中，我们将使用MITRE TTPs和微软端点防御系统警报中发现的恶意软件家族来收集事件的背景信息。具体来说，我们会问ChatGPT，根据对TTP和恶意软件的了解，攻击者接下来可能会采取什么措施，恶意软件可能利用什么漏洞。

然后自动收集结果并在事件概览中显示给调查小组：

回应1：

攻击者接下来可能会采取以下步骤：

执行恶意脚本以获得对系统的访问。

在系统上建立持久性以保持访问。

试图提升权限以获得更高级别的访问。

逃避任何到位的防卫措施。

使用电子邮件或其他方法从系统中收集数据。

响应2：

执行查询和显示响应的工作流程很简单。继续阅读，了解自己实施的步骤指南。

第1步：从OpenAI获得一个API密钥

登录OpenAI，进入 "用户设置 "下的 "API密钥"。

生成一个新的密钥，并复制它以备后用。

第2步：在D3中设置连接

导航到：

配置

集成 > ChatGPT

3. 选择 "+连接"。

4. 给它起个名字并添加你的API密钥。

5. 然后选择 "测试连接 "以确保一切正常。

6. 点击'保存'，就可以使用了。

第3步：建立游戏手册

现在连接已经准备好了，进入配置>实用命令，点击 "+"按钮。给它起个你喜欢的名字，并选择 "无代码游戏书 "作为实施类型：

选择'指令性任务'和'临时性任务'，然后导航到'概览'旁边的'新任务'。

再加一个漏洞请求，然后再加一个任务，把结果推送到事件概览：

在每个任务的查询参数中，你可以添加动态变量，使每个搜索都与你所处的事件相关。在这里你可以看到，战术和技术是动态填充的：

完成后提交游戏手册，它就可以立即使用了。

第4步：实施游戏手册

选择一个现有的游戏手册，在 "实用程序命令 "选项卡中搜索ChatGPT_Enrichment。然后把它拖放到游戏手册生成器中。这里我们把它添加到现有的恶意软件调查游戏手册中：

由于我们把工作流程作为一个实用的命令来构建，所以我们可以把它拖到任何游戏手册中，而不需要重建它。这种模块化的游戏手册设计是Smart SOAR的独特功能之一。

点击右上方的 "提交"，游戏手册就可以开始使用了。

在事件中，你会看到ChatGPT的结果被填充到事件概览中：

此外，如果你的团队想在调查的任何时候查询API，他们可以临时运行该命令。

对于那些使用ChatGPT进行SecOps的人来说，需要声明的是：ChatGPT的建议和分析大多是正确的，但也能够产生完全错误的输出。这种影响所有大型语言模型（LLMs）的现象被称为 "幻觉"。这是你在依靠它做出重要决定时应该注意的问题。也就是说，这些LLMs的新更新不断降低错误率。另外，在处理敏感调查时，要注意你向ChatGPT发送什么数据。