نحو عمليات أتمتة مراكز الأمن: إطار شامل لكشف التهديدات والتعامل معها بذكاء اصطناعي مبتكر

تُعتبر مراكز الأمن السيبراني (SOCs) خط الدفاع الأول ضد التهديدات المتزايدة والمعقدة. ومع تزايد حجم هذه التهديدات، يواجه المختصون العديد من التحديات التشغيلية نتيجة لتنوع منصات إدارة الأمن (SIEM) وصعوبة الإجراءات اليدوية. في هذا السياق، يُقدَّم إطار عمل شامل لإدارة التهديدات، يدمج بين تقنيات الكشف (detection) المعززة، وتوليد الاستفسارات (query generation) المنضبطة، ودعم الحلول المستندة إلى الاسترجاع (retrieval-augmented resolution) لتحسين سير العمل الأمني.

تقوم الوحدة الخاصة بالكشف بتقييم كلاً من مصنِّفات التعلم الآلي التقليدية ونماذج اللغات الكبيرة (LLMs)، ثم تجمع بين أفضل ثلاثة نماذج أداءً لإنشاء نموذج تحسيني، محققة دقة تصل إلى 82.8% مع معدل إيجابي زائف يبلغ 0.120 عند تحليل سجلات SIEM.

كما تم إدخال بنية SQM (Syntax Query Metadata) لجمع الأدلة بشكل آلي، حيث تستخدم قيوداً تركيبية محددة (syntax constraints) ومستندات موثوقة لتوليد استفسارات قابلة للتنفيذ عبر منصات مثل IBM QRadar وGoogle SecOps. وقد أثبتت SQM أنها تتفوق بأكثر من ضعف الأداء الأساسي لنماذج اللغات الكبيرة، مع الحصول على نسبة BLEU تبلغ 0.384 ونسبة ROUGE-L تبلغ 0.731.

فيما يتعلق بحل الحوادث وتوليد التوصيات، تُظهر النتائج التي تم الحصول عليها أن دمج الأدلة المستخرجة من SQM يزيد من دقة توقعات شيفرة الحل من 78.3% إلى 90.0%، مع تحسين جودة التوصيات. في بيئات SOC إنتاجية، يقلل إطار العمل من زمن معالجة الحوادث من ساعات إلى أقل من 10 دقائق.

تُظهر هذه الدراسة أن نماذج اللغات الكبيرة (LLMs) المعززة ببنية موجهة يمكنها تلبية متطلبات الموثوقية والكفاءة الصارمة المطلوبة في بيئات الأمان التشغيلي على نطاق واسع. هل يمكن لتكنلوجيا الذكاء الاصطناعي أن تغيّر طريقة عملنا في مجال الأمان؟ شاركونا آرائكم في التعليقات!