• 点击进入：ChatGPT工具插件导航大全

欢迎来到我们关于 OpenAI 和 Microsoft Sentinel 的系列文章的结尾！回到第 1 部分，我们介绍了用于 OpenAI 的 Azure 逻辑应用程序连接器，并通过一个简单的用例探讨了影响 OpenAI 大型语言模型 (LLM) GPT3 系列文本完成的参数：描述与 Microsoft Sentinel 相关的 MITRE ATT&CK 策略事件。  第 2 部分介绍了另一个有用的场景，总结了使用其 REST API 从 Sentinel 中提取的 KQL 分析规则。在第 3 部分中，我们重新审视了第一个用例并比较了文本完成 (DaVinci) 和聊天完成 (Turbo) 模型。还剩下什么？嗯，很多 – 让我们开始吧！

Microsoft 员工、MVP、合作伙伴和独立研究人员每天都在进行一些令人难以置信的工作，以利用无处不在的生成 AI 的力量。不过，在安全领域，人工智能研究人员最重要的话题之一是数据隐私。我们可以轻松地从 Microsoft Sentinel 事件中提取所有实体，并通过 OpenAI 的 API 将它们发送给 ChatGPT，以总结和得出结论——事实上，就在本周，我在 GitHub 上看到了六个新项目正在这样做。对于开发和测试来说，这当然是一个有趣的项目，但是没有任何企业 SOC 愿意在没有严格定义数据共享协议（或者根本没有，如果他们可以帮助它）。

进入 Azure OpenAI 服务！

Azure OpenAI 服务提供 REST API 访问相同的 GPT-3.5、Codex、DALL-E 2 和我们在本系列前面使用过的其他 LLM，但具有 Microsoft Azure 的安全和企业优势。此服务部署在您的 Azure 订阅中，对静态数据进行加密，数据隐私受 Microsoft 负责任的 AI 原则约束。自 2022 年 12 月 14 日起，包括 DaVinci 在内的文本补全模型已在 Azure OpenAI 服务上普遍可用。在撰写本文时，由 gpt-3.5-turbo 模型提供支持的 ChatGPT 刚刚添加到 Preview中。目前访问权限有限，因此请务必申请访问 Azure OpenAI！

Azure 上的 ChatGPT 解决了在企业 SOC 中操作生成 AI LLM 的主要挑战。我们已经看到了用于汇总事件详细信息、相关实体和分析规则的自动化 – 如果您关注了本系列，我们实际上已经构建了几个示例！下一步是什么？我整理了几个例子，我认为这些例子突出了 AI 将在未来几周和几个月内为安全团队带来最大价值的地方。

• 作为 SOC 分析师和事件响应者的 AI 副驾驶，ChatGPT 可以为通过 Microsoft Teams 与安全操作员交互的自然语言助手提供支持，以提供正在进行的事件的通用操作图。查看 Chris Stelzer 与#SOCGPT的创新工作，了解此功能的示例。
• ChatGPT 可以通过将 Sentinel 分析规则转换为特定于产品的搜寻查询，让分析师在Microsoft 365 Defender 高级搜寻中抢先搜寻高级威胁。Microsoft 的一位同事已经针对紫色组队场景使用 ChatGPT 进行了一些开创性的工作，包括生成和检测漏洞利用代码 – 这里的可能性是无限的。
• ChatGPT 汇总大量信息的能力使其成为事件文档的宝贵工具。想象一下内部 SharePoint，其中包含过去两年中每个已关闭事件的摘要！

在某些领域，ChatGPT 尽管具有创新性，但仍无法取代人类的专业知识和专门构建的系统。实体研究就是这样一个例子；为安全分析和实体映射提供完全定义、规范化的遥测绝对至关重要。ChatGPT 的模型是在一个非常大但仍然有限的数据集上训练的，不能依赖于实时威胁情报。同样，ChatGPT 生成的代码在投入生产之前必须始终经过审查。