Использование больших языковых моделей в задачах анализа событий безопасности

В условиях устойчивого роста числа кибератак и усложнения применяемых злоумышленниками техник существенно возрастает нагрузка на команды центров мониторинга и реагирования на инциденты информационной безопасности. При этом доступ к событиям безопасности в существующих системах хранения в значительной степени опирается на поисковые запросы на специализированном синтаксисе, что не всегда позволяет обеспечить требуемые скорость и глубину анализа. Одновременно активно развиваются технологии на основе больших языковых моделей, открывающие возможности взаимодействия с накопленными журналами безопасности на естественном языке. Предлагается способ внедрения LLM-контура в существующую архитектуру сбора и обработки событий безопасности, который обеспечивает извлечение релевантных событий по семантическому сходству на основе запросов на естественном языке. Кроме того, описывается реализованный прототип, демонстрирующий техническую осуществимость такого подхода на примере локально развернутой модели Mistral и веб-интерфейса чат-бота для аналитиков SOC, что может служить основой для дальнейшей разработки и внедрения аналогичных решений в практическую деятельность центров мониторинга.