Towards Agentic Investigation of Security Alerts
作者: Even Eilertsen, Vasileios Mavroeidis, Gudmund Grov
分类: cs.CR, cs.AI
发布日期: 2026-04-28
备注: 10 pages, 3 figures, 4 tables. Accepted at the 2025 IEEE International Conference on Big Data (BigData)
期刊: Proc. 2025 IEEE Int. Conf. on Big Data (BigData), 2025
DOI: 10.1109/BigData66926.2025.11402161
💡 一句话要点
提出基于LLM的Agentic安全告警调查工作流,提升告警判定的准确性。
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 安全告警调查 大型语言模型 Agentic工作流 自动化 安全分析 日志分析 威胁检测
📋 核心要点
- 安全分析师面临海量告警和低上下文信息挑战,手动关联日志源耗时。
- 提出Agentic工作流,利用LLM结合预定义查询和受限工具访问,自动化告警调查。
- 实验结果表明,该工作流能显著提高告警判定的准确性,降低人工工作量。
📝 摘要(中文)
安全分析师面临着海量告警和检测系统提供的低上下文信息的问题。早期调查通常需要手动关联多个日志源,这是一项耗时的任务。本文提出了一种实验性的Agentic工作流,利用大型语言模型(LLM),并结合预定义的查询和受限的工具访问(基于Suricata日志的结构化SQL和基于grep的文本搜索),以自动化告警调查的早期阶段。该工作流集成了查询以提供可用数据的概览,以及LLM组件,这些组件基于概览结果选择要使用的查询,从查询结果中提取原始证据,并提供告警的最终判定。结果表明,基于LLM的工作流可以调查日志源,规划调查,并产生比没有该工作流的相同LLM所产生的判定具有明显更高准确性的最终判定。通过认识到直接将LLM应用于高容量和非结构化数据的固有局限性,我们建议将现实世界分析师的现有调查实践与结构化方法相结合,以利用LLM作为虚拟安全分析师,从而协助并减少手动工作量。
🔬 方法详解
问题定义:安全分析师需要处理大量的安全告警,但告警信息往往缺乏足够的上下文,导致分析师需要手动从多个日志源中关联信息,这非常耗时且容易出错。现有方法直接使用LLM处理海量非结构化数据效果不佳,无法有效辅助分析师进行告警调查。
核心思路:将LLM与安全分析师的现有调查实践相结合,构建一个Agentic工作流。该工作流通过预定义的查询和受限的工具访问,为LLM提供结构化的数据输入,并利用LLM的推理能力来规划调查、提取证据和做出最终判定。这种方法旨在弥补直接应用LLM处理非结构化数据的不足,并充分利用LLM的推理能力。
技术框架:该Agentic工作流包含以下主要模块:1) 数据概览:通过预定义的查询(例如SQL查询Suricata日志)获取可用数据的概览信息。2) 查询选择:LLM根据数据概览信息,选择合适的查询来获取更详细的证据。3) 证据提取:LLM从查询结果中提取相关的原始证据。4) 最终判定:LLM根据提取的证据,对告警做出最终判定。整个流程模拟了安全分析师的调查过程,并利用LLM来自动化其中的一些步骤。
关键创新:该方法的核心创新在于将LLM与结构化的查询和工具访问相结合,构建了一个Agentic工作流。这种方法避免了直接将LLM应用于海量非结构化数据,而是通过结构化的数据输入和受限的工具访问,为LLM提供了更清晰的上下文信息,从而提高了LLM的推理能力和告警判定的准确性。
关键设计:论文中使用了预定义的SQL查询来访问Suricata日志,并使用grep进行文本搜索。LLM的选择和配置(具体型号未知)是关键,需要能够理解查询结果并从中提取相关证据。此外,如何设计有效的查询,以及如何限制LLM的工具访问,以防止其滥用权限,也是重要的设计考虑。
📊 实验亮点
实验结果表明,基于LLM的Agentic工作流能够显著提高告警判定的准确性,优于直接使用LLM进行判定的方法。具体提升幅度未知,但论文强调了“显著更高”的准确性。该工作流通过模拟安全分析师的调查过程,有效地利用了LLM的推理能力。
🎯 应用场景
该研究成果可应用于安全运营中心(SOC),帮助安全分析师自动化告警调查的早期阶段,减少手动工作量,提高告警处理效率。此外,该方法也可以扩展到其他需要从海量数据中提取信息的领域,例如威胁情报分析、事件响应等。
📄 摘要(原文)
Security analysts are overwhelmed by the volume of alerts and the low context provided by many detection systems. Early-stage investigations typically require manual correlation across multiple log sources, a task that is usually time-consuming. In this paper, we present an experimental, agentic workflow that leverages large language models (LLMs) augmented with predefined queries and constrained tool access (structured SQL over Suricata logs and grep-based text search) to automate the first stages of alert investigation. The proposed workflow integrates queries to provide an overview of the available data, and LLM components that selects which queries to use based on the overview results, extracts raw evidence from the query results, and delivers a final verdict of the alert. Our results demonstrate that the LLM-powered workflow can investigate log sources, plan an investigation, and produce a final verdict that has a significantly higher accuracy than a verdict produced by the same LLM without the proposed workflow. By recognizing the inherent limitations of directly applying LLMs to high-volume and unstructured data, we propose combining existing investigation practices of real-world analysts with a structured approach to leverage LLMs as virtual security analysts, thereby assisting and reducing the manual workload.