Automating detection engineering : from natural language to XML detection rules

Abstract

Η διαρκής εξέλιξη της τεχνολογίας έχει οδηγήσει στη δημιουργία πολύπλοκων ψηφιακών περιβαλλόντων, τα οποία, ενώ ενισχύουν την καινοτομία και τη συνδεσιμότητα, την ίδια στιγμή εκθέτουν τα συστήματα σε ένα συνεχώς διευρυνόμενο φάσμα εξελιγμένων κυβερνοαπειλών. Οι μέθοδοι ανίχνευσης και αντιμετώπισης περιστατικών που χρησιμοποιούνται μέχρι και σήμερα, βασίζονται σε μεγάλο βαθμό στη χειροκίνητη δημιουργία κανόνων και στην ανθρώπινη παρέμβαση, γεγονός που τις καθιστά συχνά χρονοβόρες και επιρρεπείς σε σφάλματα. Καθώς οι οργανισμοί επιδιώκουν την ενίσχυση της ασφάλειάς τους, η ανάγκη καθίσταται επιτακτική για τη δημιουργία ευφυών συστημάτων, που να μπορούν να αυτοματοποιήσουν τη διαδικασία ανίχνευσης απειλών. Στο πλαίσιο αυτής της διπλωματικής εργασίας, προτείνεται μια ημιαυτοματοποιημένη ροή ανίχνευσης που αξιοποιεί τις δυνατότητες των LLMs για την παραγωγή και βελτιστοποίηση κανόνων ανίχνευσης απειλών σε πλατφόρμες SIEM, με έμφαση στο ανοιχτού κώδικα σύστημα Wazuh. Η βάση της μεθοδολογίας έγκειται στη μετατροπή περιγραφών επιθέσεων από φυσική γλώσσα σε κανόνες ανίχνευσης της μορφής XML, συμβατούς με τον μηχανισμό κανόνων του Wazuh. Η ροή υλοποιείται μέσω ενός Python script, το οποίο διαχειρίζεται την επικοινωνία ανάμεσα στον χρήστη από το τοπικό LLM (μέσω του Ollama), το API του Wazuh και την πλατφόρμα προσομοίωσης επιθέσεων MITRE Caldera. Αφού δημιουργηθεί ο αρχικός κανόνας, εκτελείται μια προσομοιωμένη επίθεση μέσω του Caldera, το Wazuh συλλέγει σχετικά logs και στη συνέχεια αναλύονται από το LLM, προκειμένου να δημιουργηθεί ένας πιο ακριβής κανόνας ανίχνευσης. Ο νέος κανόνας επανεισάγεται στο Wazuh, ολοκληρώνοντας έναν πλήρη κύκλο της ροής. Παρόλο που απαιτούνται ορισμένα χειροκίνητα βήματα κατά την εκτέλεση της επίθεσης λόγω περιορισμών του Caldera, η μεθοδολογία αποδεικνύεται λειτουργική, μειώνει σημαντικά την ανάγκη της ανθρώπινης τεχνογνωσίας, υποστηρίζει τη συνεχή βελτιστοποίηση των κανόνων και θέτει τις βάσεις για την ανάπτυξη πλήρως αυτόνομων συστημάτων ανίχνευσης.