نظرة عامة على التكامل LLM

تستخدم AuroraSOC نموذج اللغة الكبير (LLM) باعتباره جوهر المنطق للتحقيقات الأمنية. LLM هو نظام تم تدريبه على كميات هائلة من النص حتى يتعلم الأنماط الإحصائية للغة ويمكنه إنشاء ردود مفيدة على الأسئلة الجديدة، وهي نفس فئة التكنولوجيا التي تستخدمها أنظمة مثل ChatGPT، ولكن هنا يتم نشرها لسير عمل مركز العمليات الأمنية (SOC) واستضافتها داخل البنية التحتية الخاصة بك.

لماذا تدير AuroraSOC دورات LLM الخاصة بها محليًا

تم تصميم AuroraSOC للبيئات التي تكون فيها بيانات الأمان حساسة، وسرعة الاستجابة مهمة، ويجب أن تظل التكلفة قابلة للتنبؤ بها.

الخصوصية والامتثال

تتضمن تحقيقات مركز عمليات الأمن (SOC) القياس الداخلي عن بعد، وعناصر نقطة النهاية، والجداول الزمنية للحوادث، والبيانات التي يحتمل أن تكون خاضعة للتنظيم. تشغيل الاستدلال محليًا يعني أن هذه البيانات لا تترك حدود البنية التحتية الخاصة بك. بالنسبة للفرق العاملة بموجب SOC 2 (التحكم في تنظيم الخدمة 2)، أو ISO 27001 (معيار أمان معلومات المنظمة الدولية للتوحيد القياسي)، أو HIPAA (قانون قابلية نقل التأمين الصحي والمساءلة)، فإن إرسال حمولات الحوادث الأولية إلى واجهة برمجة تطبيقات السحابة العامة يمكن أن يصبح التزامًا بالامتثال. الاستدلال المحلي يحافظ على التحكم وإمكانية التدقيق وإقامة البيانات بين يديك.

الكمون تحت تحميل متعدد الوكيل

تستخدم AuroraSOC منسقًا واحدًا بالإضافة إلى العديد من الوكلاء المتخصصين. أثناء عملية الاقتحام النشطة، يقوم العديد من العملاء بتحليل الأدلة بالتوازي. إذا كان كل طلب يعتمد على واجهة برمجة التطبيقات الخارجية ذهابًا وإيابًا، فإن كل مكالمة تضيف زمن استجابة الشبكة والموفر. يتراكم هذا التأخير عبر سلسلة التحقيق، لذا فإن ما يبدو وكأنه "ثواني قليلة فقط لكل مكالمة" يمكن أن يصبح سريعًا دقائق عندما يتم ربط العديد من المكالمات معًا.

تكلفة العمليات المستمرة

تم تصميم AuroraSOC للعمل على مدار الساعة طوال أيام الأسبوع، وليس للمطالبات العرضية. يمكن أن يبدو الحمل الواقعي كما يلي:

16 وكيلا متخصصا
~1000 رمز لكل مكالمة
100 مكالمة في الساعة

هذا يعني حوالي 1.4 مليون رمز في الساعة. في تسعير واجهة برمجة التطبيقات المستضافة الشائعة، يمكن أن يصل هذا إلى مئات الدولارات يوميًا، قبل زيادة الحوادث. يعمل الاستدلال المستضاف ذاتيًا على تحويل هذا الملف الشخصي من الإنفاق المتغير لكل رمز مميز إلى تكلفة البنية التحتية التي يمكنك التخطيط لها وتحديد سقف لها.

النماذج: آي بي إم جرانيت 4

تقوم AuroraSOC بتوحيد معايير IBM Granite 4 لأنها توفر أوزانًا مفتوحة وموقف ترخيص مناسبًا تجاريًا وجودة تفكير منظمة قوية لمهام تحليل الأمان. كما أنه يؤدي أداءً جيدًا للمهام التي تحتاج إلى مخرجات منضبطة ومدركة للتنسيق.

يستخدم AuroraSOC دورين لنموذج وقت التشغيل:

granite-soc-specialist: نموذج vLLM الافتراضي الذي يستخدمه الأسطول المتخصص.
VLLM_ORCHESTRATOR_MODEL: معرف نموذج المنسق (الافتراضي هو granite-soc-specialist، ولكن يمكن ضبطه على granite-soc-orchestrator أو نموذج معروض آخر).

الجرانيت 4 هو نموذج أساس للأغراض العامة. يؤدي الضبط الدقيق إلى تحويله إلى نموذج متخصص في SOC. التشبيه العملي هو توظيف متخصص عام ذكي بشكل استثنائي ثم منحه ثلاثة أشهر من التدريب المهني المكثف في مركز العمليات الأمنية: فهو يعرف بالفعل كيفية التفكير، ويعلمه الضبط الدقيق لغتك الأمنية، وعادات الفرز، وأسلوب التحقيق.

البنية: كيف يصبح التنبيه الأمني استجابة للذكاء الاصطناعي

تخيل وصول تنبيه برامج الفدية من SIEM الخاص بك: تظهر طفرات تشفير نقطة النهاية وسلاسل العمليات المشبوهة ومؤشرات الحركة الجانبية في وقت واحد. تقوم AuroraSOC أولاً بتطبيع تدفق الأحداث في قلب Rust والمصادقة عليه، بحيث تتلقى جميع الأنظمة النهائية حمولة ثابتة وجديرة بالثقة. يتم دفع هذا التنبيه المُطبيع إلى Redis Streams، حيث يلتقطه خط أنابيب عامل الوكيل ويرسله إلى المُنسق. يستعلم المنسق عن vLLM باستخدام VLLM_ORCHESTRATOR_MODEL (الافتراضي: granite-soc-specialist)، ويقسم الحادث إلى مهام متخصصة، ويرسل هذه المهام بشكل متزامن.

يتم بعد ذلك تشغيل تحليل الشبكة، وتحليل البرامج الضارة، وإثراء معلومات التهديدات، والتحقيق في نقطة النهاية بالتوازي. يقوم كل متخصص بالاستعلام عن vLLM باستخدام granite-soc-specialist وإرجاع النتائج المنظمة. يقوم المنسق بدمج هذه النتائج في قطعة أثرية تحقيق واحدة. يتم بعد ذلك تسليم هذه الأداة إلى لوحة معلومات Next.js عبر WebSocket بحيث يرى المحللون أن التحقيق يتطور في الوقت الفعلي تقريبًا بدلاً من انتظار خط أنابيب متسلسل أحادي الترابط.

IoT / SIEM Alert
     │
     ▼
Rust Core Engine (normalize + attest)
     │
     ▼
Redis Streams → Agent Worker
     │
     ▼
Orchestrator Agent
(queries vLLM: VLLM_ORCHESTRATOR_MODEL)
     │
     ├──▶ Network Analyzer Agent  ──▶ vLLM
     ├──▶ Malware Analyst Agent   ──▶ vLLM
     ├──▶ Threat Intel Agent      ──▶ vLLM  (all concurrent)
     └──▶ Endpoint Security Agent ──▶ vLLM
               │
               ▼
     Structured Investigation Report
               │
               ▼
     Next.js Dashboard (WebSocket)

ملخص خط أنابيب التدريب

تقوم AuroraSOC بتدريب وتصدير المتغيرات المتخصصة والمنسقة من خلال خط أنابيب الضبط الدقيق لـ Granite، ثم تخدم تلك المصنوعات المصدرة من خلال vLLM كإعداد افتراضي للإنتاج. يغطي خط الأنابيب إعداد مجموعة البيانات، وضبط LoRA، وتصدير FP16 المدمج لـ vLLM، والتحقق من الصحة قبل النشر؛ راجع خط أنابيب التدريب - الدليل الكامل للمبتدئين للحصول على سير العمل الكامل خطوة بخطوة.

ماذا تقرأ بعد ذلك

الواجهات الخلفية للاستدلال: vLLM وOllama — الدليل الكامل: بنية الواجهة الخلفية المفصلة، وتبديل سير العمل، واستكشاف الأخطاء وإصلاحها.
خطة التدريب — الدليل الكامل للمبتدئين: تدريب شامل بدءًا من إعداد مجموعة البيانات وحتى عرض النماذج المنشورة.
مرجع متغيرات البيئة - LLM والاستدلال: مصدر واحد للحقيقة لمتغيرات تكوين الواجهة الخلفية والنموذج.

لماذا تدير AuroraSOC دورات LLM الخاصة بها محليًا​

الخصوصية والامتثال​

الكمون تحت تحميل متعدد الوكيل​

تكلفة العمليات المستمرة​

النماذج: آي بي إم جرانيت 4​

البنية: كيف يصبح التنبيه الأمني ​​استجابة للذكاء الاصطناعي​

ملخص خط أنابيب التدريب​

ماذا تقرأ بعد ذلك​