安全团队日常工作中需花费大量时间从报告、论坛和信息流中提取数据,尝试跨多源关联线索。谷歌表示,现在只需通过简单对话即可完成这类工作。
与威胁数据交互的新方式
谷歌推出了智能体威胁情报(agentic threat intelligence),作为其Threat Intelligence Enterprise和Enterprise+产品的预览功能。该公司将其描述为“智能体平台”,可充当分析师的数字队友。当用户提出问题时,平台会自动选择专业智能体与工具的最佳组合来生成答案。
这些智能体可处理网络威胁情报(CTI)和恶意软件分析等任务。系统从多个来源拉取数据,包括开源情报(OSINT)、深网与暗网、Mandiant报告及VirusTotal数据。最终输出的是综合摘要而非链接列表,减少分析师在多源数据中挖掘的时间。
从手动研究到对话式分析
在传统工作流中,分析师收到新恶意软件警报后,可能需花费数小时搜索相关信息、收集IOC(妥协指标)并阅读技术报告。谷歌平台旨在将这一过程缩短为单个问题的提问时间。
例如,分析师可要求系统分析“近期供应链攻击”或“识别利用特定漏洞的威胁 actor”。片刻之内,平台即返回包含战术、技术与程序(TTPs)、相关IOC及恶意软件行为的综合摘要。
“威胁情报的未来不在于更多数据,而在于更快生成更优洞察,”谷歌云产品管理Emiliano Martinez告诉Help Net Security。“借助智能体威胁情报,分析师过去需数小时艰苦手动研究的工作,现在可在几分钟内完成。通过快速交付综合情报,我们正将范式从被动防御转向更主动的姿态,帮助组织领先于风险。”
谷歌表示,这一转变使分析师能从被动防御转向更主动的策略。快速获取综合情报可让团队更新检测规则、优先修复漏洞,并基于当前威胁活动开展桌面推演。
关联威胁 actor 与攻击活动的隐藏联系
谷歌指出,这种方法的优势在于能够发现手动调查中可能遗漏的关联关系。通过关联其威胁情报源的数据,平台可展示威胁 actor、漏洞和恶意软件家族在不同攻击活动中的交叉关系。
这种深度视角帮助安全团队理解更广泛的威胁态势,确定需关注的风险,并向高管传达发现。对话界面支持多语言,便于全球团队使用。
系统还可生成** executive 摘要**并保存重复任务的提示词。谷歌称,这能让分析师将更多时间用于战略规划,而非数据收集。
发表评论
您还未登录,请先登录。
登录