A kiberfenyegetések összetettsége és gyakorisága soha nem látott mértékben növekszik. A támadók nemcsak kifinomultabb eszközöket használnak, hanem egyre inkább automatizált, AI alapú támadási technikákat is bevetnek. A védelmi oldalon ennek megfelelő válasz születik: a biztonsági rendszereknek is integrálniuk kell a mesterséges intelligenciát az incidensek felismeréséhez, elemzéséhez és elhárításához.
A FortiAI-Assist ennek a fejlődésnek a része. A Fortinet Security Fabric ökoszisztémájába integrált AI asszisztens célja, hogy felgyorsítsa a biztonsági működést (SecOps), csökkentse az MTTD/MTTR (Mean Time To Detect – átlagos észlelési idő. Mean Time To Respond – átlagos reagálási idő) időt, valamint könnyebbé tegye a hálózatbiztonsággal és felügyelettel kapcsolatos munkafolyamatokat.
Mi az a FortiAI-Assist?
A FortiAI-Assist egy generatív mesterséges intelligenciát alkalmazó asszisztens, amely különböző Fortinet megoldásokban érhető el, mint előfizetéses szolgáltatás. Az AI Assist beágyazódik a támogatott Fortinet eszközök adminisztrátori kezelőfelületébe, így a megoldás chat felülete az üzemeltetőknek kényelmesen elérhető. A jelenleg támogatott Fortinet termékek a FortiAnalyzer, FortiManager, FortiSOAR, FortiSIEM, FortiAIOps, FortiNDR Cloud. Fő funkciója, hogy természetes emberi nyelvi kérdésekből kiindulva az alkalmazott termék szerepkörétől függően nagy nyelvi modellnek (LLM) segítségével
- elemezze a biztonsági eseményeket,
- lekérdezze a naplókat,
- automatizálja a vizsgálati lépéseket,
- javaslatokat tesz elhárítási lépésekre,
- segít szabályok, keresési lekérdezések vagy playbook-ok készítésében.
- támogatja a központi menedzsmentet, tűzfalszabályokat, VPN kapcsolatokat konfigurál
Más szóval, a FortiAI-Assist a SOC elemzők és az üzemeltetők társa: csökkenti a manuális terhelést, támogatja központi menedzsmentet, minimalizálja az elemzői hibákat, és gyorsabb, pontosabb válaszokat biztosít incidensek esetén.
AI Assist működési architektúra
A FortiAI-Assist a Fortinet eddigi gépi tanulásra és fenyegetésfelderítésre épülő infrastruktúrájára támaszkodik, többek között:
| Komponens | Szerep |
| FortiAI ML Engine | Anomália- és fenyegetésdetekció |
| Generatív AI modell | Természetes nyelvi feldolgozás és válaszgenerálás |
| FortiSOC integráció | Incidenskezelési folyamatok összefűzése |
| Threat Intelligence | Folyamatosan frissített fenyegetésadatbázis |
| Data Privacy Layer | Adatvédelem, titkosítás és audit |
Fő funkciók részletesen
- Természetes nyelvű keresés biztonsági naplókban
Az elemzők SQL lekérdezések helyett használhatnak olyan utasításokat, mint:
“Mutasd az elmúlt 24 órából az összes sikertelen RDP belépési kísérletet külső IP címekről.”
A FortiAI-Assist automatikusan generálja a SIEM lekérdezést és lefuttatja azt.
- Gyors incidensanalízis
Képes összefoglalni egy incidens hátterét:
- támadási útvonal (kill chain) elemzése,
- MITRE ATT&CK mátrix hozzárendelés,
- releváns asset-ek és felhasználók feltérképezése,
- kockázati pontszám meghatározása.
- Automatikus playbook generálás (SOAR funkciók)
A SOC folyamatok automatizálhatók természetes nyelven:
“Hozz létre egy playbook-ot, ami karanténba helyezi a fertőzött végpontot és riasztást küld a SOC csoportnak.”
- Asszisztált triázs
A túl sok riasztásból a FortiAI-Assist képes:
- prioritást meghatározni,
- fals pozitívokat szűrni,
- kontextust adni a döntéshez.
- Központi menedzsment támogatás
- tűzfalszabályok létrehozása, módosítása, optimalizálása
- VPN konfiguráció generálása
- hibakeresés
FortiAI-Assist - működés és adatvédelem
A Fortinet a FortiAI-jal többrétegű megközelítéssel védi az adatokat: visszahívás (callback) funkcióval, adatmaszkolással és biztonságos proxy-val.
Visszahívás funkció (Callback):
A prompt-okat (utasításokat) elküldi a nagy nyelvi modellnek (LLM), amely olyan lekérdezést generál, amelyet az érintett Fortinet megoldás megért. Ez a lekérdezés ezután a helyi hoszton kerül végrehajtásra, így az eredmények helyben kerülnek feldolgozásra.
Adatmaszkolás:
Az érzékeny információk az érintett Fortinet megoldásoktól függően (FortiAnalyzer esetén például IP címek, MAC címek és felhasználónevek. FortiManager-ben eszköznevek, IP címek, VDOM nevek, vendor információk, stb.) automatikusan maszkolásra kerülnek, mielőtt az LLM-hez kerülnének, mivel a modellnek nincs szüksége ezekre az adatokra a lekérdezés összeállításához. Amikor a visszahívás funkció visszatér a helyi hosztra, az adatok visszafejtésre kerülnek.
Példa (FortiAnalyzer):
Admin prompt-ja FortiAnalyzer esetén: „Add meg a ma észlelt kártékony programtevékenységek statisztikáját a 192.168.50.20 végpontról!”
Maszkolt adat, amit a FortiAnalyzer küld: „Add meg a ma észlelt kártékony programtevékenységek statisztikáját a 12.198.37.2 végpontról!”
Ebben a példában a 12.198.37.2 egy automatikusan generált, irreleváns IP cím, amely a session cookie alapján készült.
Fontos megjegyezni, hogy az egyes értékek különböző maszkolási módszerekkel vannak védve a FortiAnalyzerben — például az IP címek másképp kerülnek maszkolásra, mint a felhasználónevek. A maszkolt értékek a a cookie-tól is függenek, ezzel biztosítva, hogy minden munkamenet más kulcsot használjon az adatok védelmére.
FortiAI Proxy:
Minden FortiAI prompt a Fortinet FortiAI Proxy-n keresztül halad át, mielőtt a felhőbe kerülne, ahol további ellenőrzések történnek az adatok védelme érdekében. Ezenfelül alkalmazza a Retrieval-Augmented Generation (RAG) technológiát, amely lehetővé teszi, hogy az AI ne csak általános nyelvi modellként válaszoljon, hanem a saját környezetben található valós hálózati adatokra és dokumentációra támaszkodva adjon pontos, kontextus alapú válaszokat.
A Fortinet NEM használja fel az anonimizált beszélgetési adatokat nyelvi modellek betanítására vagy finomhangolására.
Példa
Az adminisztrátor beír egy prompt-ot a FortiAnalyzer FortiAI-Assistan felületén.
Például: „Mennyit nézett YouTube-ot ma a 192.168.4.199 IP cím?”
- Az érzékeny adatokat, például az IP címet, automatikusan maszkolja a rendszer, mielőtt elhagyná a FortiAnalyzert.
- A kérdés következő állomása a FortiAI proxy, ami további adatvédelmi ellenőrzések mellett „hozzáilleszti” a kérdéshez a releváns Fortinet dokumentációkból származó információkat.
- Az LLM elemzi a kérdést, és meghatározza a megfelelő funkciót a válasz előállításához.
- Az LLM a visszahívás (callback) funkcióval a FortiAI proxy-n keresztül visszaküldi a FortiAnalyzernek a választ.
- A FortiAnalyzer visszafejti az adatokat, majd az adatbázisban végrehajtja a lekérdezést.
- A FortiAnalyzer válaszol az adminisztrátornak a FortiAI Assistant felületen.
Amennyiben további adatvédelmi szintre van szükség az adminisztrátorokkal szemben – beleértve a FortiAI felhasználókat is -, használható az adminisztrátori profilokban elérhető Privacy Masking (adatvédelmi maszkolás) funkció. Ez lehetővé teszi az adatok titkosítását és anonimizálását az adminisztrátorok számára, tovább növelve a felhasználói adatvédelem szintjét a szervezet igényei szerint.
FortiAnalyzer 7.6.3 FortiAI-Assist-tel
Szerző:
Csere István | Presales- / Rendszermérnök – HRP Europe Kft.
Összegzés
A FortiAI-Assist a mesterséges intelligencia erejét állítja a kibervédelem szolgálatába, hogy felgyorsítsa és hatékonyabbá tegye a biztonsági műveleteket. Az AI-alapú asszisztens természetes nyelvű lekérdezésekkel támogatja a SOC-elemzőket az incidensek azonosításában, elemzésében és elhárításában, miközben csökkenti a manuális terhelést és a hibalehetőségeket. A Fortinet megoldásain keresztül az FortiAI-Assist integráltan működik a teljes biztonsági infrastruktúrában, biztosítva a gyors reagálást és a mélyebb kontextusú fenyegetésértékelést. A fejlett adatvédelmi megoldások – mint az adatmaszkolás, a biztonságos proxy – garantálják, hogy a mesterséges intelligencia használata mellett az érzékeny információk biztonságban maradjanak.
