生成AIで脅威ハンティングも対話型に──SentinelOneが考える「防御者のためのAI」とは

生成AIを用いた、“対話型”の脅威ハンティングを実現

　SentinelOneでは現在、脅威ハンティングにおいてもAIの積極的な活用を進めている。EDR製品が実装するAIでは、主に機械学習技術が用いられているが、脅威ハンティングではこれに加えて生成AIも採用しているという。

　同社が提供するAIアシスタントツール「Purple AI」にLLM（大規模言語モデル）を活用することで、ユーザーからのセキュリティに関する問い合わせを自然言語で受け付け、同様に自然言語で回答を提示できるようにしている。

　「これまでの脅威ハンティングでは、データベースに対して検索用のスクリプト言語を用い、問い合わせしたいデータを引き出す必要がありました。しかし、Purple AIにLLMを採用することで、自社のセキュリティ状況に関する問い合わせを自然言語を用いて、誰でも容易に行えるようにしました」

　たとえば、Purple AIに対して「内部ネットワーク上に危険な兆候はありますか」と質問を投げかけると、ネットワークから収集した情報、脅威インテリジェンスの情報などを自動的に検索・参照し、最終的にLLMを用いて「このような兆候がありますよ」と自然言語にて回答を生成してくれる。このとき、もし重大なリスクが検出されたら、SOARと連携して対応にあたるためのセキュリティルールやポリシーを自動生成する機能の実装など、あらゆる場所にAIを活用していく予定だという。

　なお、現時点では英語のみの対応だが、2024年内には日本語にも対応予定だ。

　「将来的には、EDRも含めたあらゆる監視ポイントの情報を『SentinelOne Singularity Platform』という統合プラットフォーム上に集め、AIによる相関分析を行う仕組みを実現する予定です。さらには、脅威を検知した際の対応や日々の脅威ハンティングのプロセスなどを自動化することで、より高度な機能を備えた自律型サイバーセキュリティプラットフォームの実現を目指していきます」