Ну действительно, если современные LLM умеют играть в CTF почему они не могут заменить SOC?! И все идет к тому, что могут!
Например, Google предлагает свой Agent Development Kit (ADK) для разработки автономных агентов, не зависимых ни от используемой LLM, ни от инфраструктуры развертывания. Агенты могут быть разными, как работающими по алгоритму, так и c ML/AI внутри, т.е. способными принимать решения на основе анализа входных данных и выполнять действия. Для того, чтобы LLM, выдающая, например, текст, смогла выполнять действия, служит Model Context Protocol (MCP) (вот видео "на пальцах" , вот чуть подлиннее, но еще проще).
Отвечающими за действия компонентами являются MCP-клиент и -сервер. Google предоставляет набор готовых MCP-серверов, позволяющих агентам удобно работать с Google SecOps и TI сервисами. Фактически MCP-сервер - де-факто стандартный интерфейс для использования инструментов AI-агентами (я люблю аналогии и упрощения, поэтому MCP-сервер функционально напоминает REST API). Видео о том, как сделать подходящего агента можно посмотреть здесь.
Но ни что не мешает пойти дальше, и решения о том, какие SecOps-сервисы дергать через MCP, отдать на решение LLM-агенту, который, фактически будет реализовывать некий playbook. Поскольку сам по себе LLM-агент - автоматизация, то подходит и термин runbook. Демо таких ранбуков доступно здесь - AI Runbooks for Google Cloud Security MCP Servers, а сами ранбуки можно почитать здесь.
С помощью Google ADK можно создать агентов, выполняющих функции различных ролей в SOC, которые буду работать по описанным выше ранбуам, на это тоже есть демо - Agentic Incident Response.
Если спуститься ближе к земеле, то вот Игорь на PHD2025 рассказывал практический пример, все наработки выложил в Git. По-моему отличный PoC для движения в сторону автоматизации на базе LLM.
Ну действительно, если современные LLM умеют играть в CTF почему они не могут заменить SOC?! И все идет к тому, что могут!
Например, Google предлагает свой Agent Development Kit (ADK) для разработки автономных агентов, не зависимых ни от используемой LLM, ни от инфраструктуры развертывания. Агенты могут быть разными, как работающими по алгоритму, так и c ML/AI внутри, т.е. способными принимать решения на основе анализа входных данных и выполнять действия. Для того, чтобы LLM, выдающая, например, текст, смогла выполнять действия, служит Model Context Protocol (MCP) (вот видео "на пальцах" , вот чуть подлиннее, но еще проще).
Отвечающими за действия компонентами являются MCP-клиент и -сервер. Google предоставляет набор готовых MCP-серверов, позволяющих агентам удобно работать с Google SecOps и TI сервисами. Фактически MCP-сервер - де-факто стандартный интерфейс для использования инструментов AI-агентами (я люблю аналогии и упрощения, поэтому MCP-сервер функционально напоминает REST API). Видео о том, как сделать подходящего агента можно посмотреть здесь.
Но ни что не мешает пойти дальше, и решения о том, какие SecOps-сервисы дергать через MCP, отдать на решение LLM-агенту, который, фактически будет реализовывать некий playbook. Поскольку сам по себе LLM-агент - автоматизация, то подходит и термин runbook. Демо таких ранбуков доступно здесь - AI Runbooks for Google Cloud Security MCP Servers, а сами ранбуки можно почитать здесь.
С помощью Google ADK можно создать агентов, выполняющих функции различных ролей в SOC, которые буду работать по описанным выше ранбуам, на это тоже есть демо - Agentic Incident Response.
Если спуститься ближе к земеле, то вот Игорь на PHD2025 рассказывал практический пример, все наработки выложил в Git. По-моему отличный PoC для движения в сторону автоматизации на базе LLM.
Among the actives, Ascendas REIT sank 0.64 percent, while CapitaLand Integrated Commercial Trust plummeted 1.42 percent, City Developments plunged 1.12 percent, Dairy Farm International tumbled 0.86 percent, DBS Group skidded 0.68 percent, Genting Singapore retreated 0.67 percent, Hongkong Land climbed 1.30 percent, Mapletree Commercial Trust lost 0.47 percent, Mapletree Logistics Trust tanked 0.95 percent, Oversea-Chinese Banking Corporation dropped 0.61 percent, SATS rose 0.24 percent, SembCorp Industries shed 0.54 percent, Singapore Airlines surrendered 0.79 percent, Singapore Exchange slid 0.30 percent, Singapore Press Holdings declined 1.03 percent, Singapore Technologies Engineering dipped 0.26 percent, SingTel advanced 0.81 percent, United Overseas Bank fell 0.39 percent, Wilmar International eased 0.24 percent, Yangzijiang Shipbuilding jumped 1.42 percent and Keppel Corp, Thai Beverage, CapitaLand and Comfort DelGro were unchanged.
Telegram and Signal Havens for Right-Wing Extremists
Since the violent storming of Capitol Hill and subsequent ban of former U.S. President Donald Trump from Facebook and Twitter, the removal of Parler from Amazon’s servers, and the de-platforming of incendiary right-wing content, messaging services Telegram and Signal have seen a deluge of new users. In January alone, Telegram reported 90 million new accounts. Its founder, Pavel Durov, described this as “the largest digital migration in human history.” Signal reportedly doubled its user base to 40 million people and became the most downloaded app in 70 countries. The two services rely on encryption to protect the privacy of user communication, which has made them popular with protesters seeking to conceal their identities against repressive governments in places like Belarus, Hong Kong, and Iran. But the same encryption technology has also made them a favored communication tool for criminals and terrorist groups, including al Qaeda and the Islamic State.
