LOCALINTEL: Generating Organizational Threat Intelligence from Global and Local Cyber Knowledge

要約

セキュリティ オペレーション センター (SoC) アナリストは、オープンにアクセスできるグローバル脅威データベースから脅威レポートを収集し、特定の組織のニーズに合わせて手動でカスタマイズします。
これらのアナリストは、組織のプライベートなローカル知識データベースとして機能する内部リポジトリにも依存しています。
信頼できるサイバー インテリジェンス、重要な運用の詳細、および関連する組織情報はすべて、これらのローカル ナレッジ データベースに保存されます。
アナリストは、これらのグローバルおよびローカルの知識データベースを利用して、組織独自の脅威への対応および軽減戦略を手動で作成する、労働集約的なタスクに取り組みます。
最近、大規模言語モデル (LLM) は、大規模で多様な知識ソースを効率的に処理する機能を示しました。
この機能を活用してグローバルおよびローカルのナレッジ データベースを処理し、組織固有の脅威インテリジェンスの生成を自動化します。
この研究では、新しい自動知識コンテキスト化システムである LOCALINTEL を紹介します。このシステムは、プロンプトに応じて、グローバル脅威リポジトリから脅威レポートを取得し、ローカル ナレッジ データベースを使用して、それらを特定の組織向けにコンテキスト化します。
LOCALINTEL は、グローバル脅威インテリジェンスの取得、ローカルの知識の取得、およびコンテキストに応じた補完の生成という 3 つの主要なフェーズで構成されます。
前者はグローバル脅威リポジトリからインテリジェンスを取得し、後者はローカルのナレッジ データベースから関連するナレッジを取得します。
最後に、これらの知識ソースの融合がジェネレーターを通じて調整され、状況に応じた完成形が生成されます。

要約(オリジナル)

Security Operations Center (SoC) analysts gather threat reports from openly accessible global threat databases and customize them manually to suit a particular organization’s needs. These analysts also depend on internal repositories, which act as private local knowledge database for an organization. Credible cyber intelligence, critical operational details, and relevant organizational information are all stored in these local knowledge databases. Analysts undertake a labor intensive task utilizing these global and local knowledge databases to manually create organization’s unique threat response and mitigation strategies. Recently, Large Language Models (LLMs) have shown the capability to efficiently process large diverse knowledge sources. We leverage this ability to process global and local knowledge databases to automate the generation of organization-specific threat intelligence. In this work, we present LOCALINTEL, a novel automated knowledge contextualization system that, upon prompting, retrieves threat reports from the global threat repositories and uses its local knowledge database to contextualize them for a specific organization. LOCALINTEL comprises of three key phases: global threat intelligence retrieval, local knowledge retrieval, and contextualized completion generation. The former retrieves intelligence from global threat repositories, while the second retrieves pertinent knowledge from the local knowledge database. Finally, the fusion of these knowledge sources is orchestrated through a generator to produce a contextualized completion.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google