ZIA binnen LOG360: wat is het en hoe werkt het

Hoe Zia Insights werkt

In deze sectie wordt de onderliggende architectuur en werking van Zia Insights binnen Log360 Cloud toegelicht. De Zia Insights-functionaliteit van Log360 Cloud werkt met een Bring Your Own Key (BYOK)-model in combinatie met Azure OpenAI. Door logs, waarschuwingen en incidenten te verwerken, levert Zia Insights contextuele samenvattingen, wijst op potentiële risico’s, koppelt relevante activiteiten aan MITRE ATT&CK®-technieken, en stelt mogelijke herstelacties voor. Deze inzichten stellen beveiligingsteams in staat om de context van gebeurtenissen beter te begrijpen, onderzoeken te versnellen en responsstrategieën te versterken.

Zia Insights-workflow

1. Het activeren van Zia Insights

De workflow begint wanneer een gebruiker een verzoek tot inzicht activeert door een specifiek logbestand, waarschuwing of incident te selecteren binnen Log360 Cloud. Deze actie activeert de Zia Insights-engine om de analyse te starten.

Zodra dit wordt gestart, haalt Log360 Cloud automatisch alle relevante gegevens op die bij het geselecteerde item horen. Dit omvat ruwe logs, metadata van gebeurtenissen, context van waarschuwingen of tijdlijnen van incidenten, afhankelijk van het door de gebruiker geactiveerde verzoek. Deze verzamelde informatie vormt de inputlaag, die cruciaal is voor het genereren van inzichten.

De inputlaag verzamelt een breed scala aan beveiligingsdatabronnen, waaronder:

• Beveiligingsgebeurtenissen, systeemlogs en netwerkactiviteit: Verzameld van eindpunten, firewalls, cloudinfrastructuur en andere bewaakte systemen.

• Waarschuwingen, detecties (correlatiewaarschuwingen) en anomalieën: Geactiveerd via op regels gebaseerde correlatie-alerts of anomaliedetectie.

• Beveiligingsincidenten, onderzoekscasussen en geëscaleerde gebeurtenissen: Gegevens over lopende of historische dreigingen die onderzocht worden door het SOC-team.

Deze uitgebreide dataset zorgt ervoor dat Zia Insights alle context heeft die nodig is om bruikbare inzichten te genereren.

2. Genereren van inzichten

Zodra de relevante beveiligingsdata is verzameld, wordt deze doorgegeven aan de kernengine van Zia Insights, die gebruikmaakt van de mogelijkheden van Azure OpenAI om ruwe data om te zetten in contextuele inzichten.

Zia Insights koppelt de opgehaalde gegevens aan een vooraf gedefinieerde set instructies, ook wel een prompt genoemd. Deze prompt bepaalt hoe Zia Insights de data moet interpreteren en hoe de output moet worden gestructureerd.

Zia Insights verwerkt de data via verschillende kernelementen:

• Context analyzer
  Reconstrueert de tijdlijn van de gebeurtenis, identificeert belangrijke acties en mogelijke dreigingsclassificaties.

• MITRE ATT&CK®-mapper
  Koppelt gedetecteerd gedrag aan bekende tactieken en technieken van aanvallers via het MITRE ATT&CK®-raamwerk. Dit helpt het SOC-team om de mogelijke fasen van de dreiging te begrijpen.

• Remediation AI
  Stelt stappen voor voor onderzoek, strategieën voor indamming en aanbevelingen voor herstel, aangepast aan het specifieke scenario.

3. Resultaten van Zia Insights

Na verwerking en analyse van de invoergegevens, produceert Zia Insights een gestructureerde output die zowel bruikbaar als contextbewust is. De belangrijkste onderdelen van de resultaten zijn:

• Contextuele samenvattingen
  Samenvattingen van de gebeurtenis met een tijdlijn, kernindicatoren en impactanalyse.

  • Tijdlijn: Reconstrueert de volgorde van gerelateerde gebeurtenissen om duidelijkheid in de tijd te bieden.

  • Belangrijke indicatoren: Benadrukt belangrijke informatie zoals bron-IP’s, gebruikersaccounts, processen en anomalie-indicatoren.

  • Impactanalyse: Evalueert het mogelijke effect van de gebeurtenis op systemen, gebruikers of bedrijfsprocessen, zodat teams hun reactie kunnen prioriteren.

• MITRE ATT&CK®-mapping
  Op basis van het waargenomen gedrag koppelt Zia Insights de activiteit aan bijbehorende tactieken en technieken in MITRE ATT&CK®. Dit maakt gestandaardiseerde dreigingsclassificatie mogelijk en ondersteunt onderzoek en threat hunting.

• Potentiële herstelacties
  Zia Insights biedt voorgestelde onderzoekstappen, directe acties voor indamming en probleemoplossingsinstructies om tijdig en weloverwogen te kunnen handelen.

OPMERKING: Zia Insights is beschikbaar voor gebruikers met een Professional- of MSSP-abonnement. Als het bijbehorende abonnement verloopt, wordt het AI-model automatisch uitgeschakeld en zijn de eerder gegenereerde inzichten niet meer toegankelijk.

Voordelen van Zia Insights

Zia Insights van Log360 Cloud stelt SOC-teams in staat om onderzoeken te versterken en dreigingen effectief te beperken of te neutraliseren met ongekende snelheid. Het stelt SOC-professionals in staat om:

• Proactief te jagen op subtiele indicatoren: Gebruik de samenvatting, inzichten en tijdlijn in Zia Insights om subtiele compromitterende signalen proactief te detecteren. Deze segmenten lichten snel relevante gebeurtenissen, actoren en entiteiten uit, zodat je eerder kunt ingrijpen bij anomalieën.

• Onderzoek te versnellen: Door automatisch context te bieden, betrokken actoren en entiteiten te identificeren en de aanvalsketen uit te stippelen via MITRE ATT&CK®-mapping.

• Snelle herstelacties te activeren: Door specifieke, bruikbare stappen aan te reiken die zijn afgestemd op het gedetecteerde dreigingsniveau en logtype.

• Threat intelligence te versterken: Door consequent incidenten te koppelen aan MITRE ATT&CK®, wat institutionele kennis opbouwt van vijandige tactieken.

• De productiviteit van analisten te verhogen: Door de initiële analyse en gegevensverzameling aan de AI over te laten, zodat menselijke analisten zich kunnen concentreren op kritieke besluitvorming en strategische verdediging.