图灵汇官网

Insight Engines 类似于网络安全领域的谷歌，允许用户通过自然语言进行搜索，从而获得精确且全面的结果。尽管这种比喻并不完全准确，但它有助于理解其工作原理。

在过去，首席安全官(CSO)们希望找到能够自动化安全流程或将关键的安全任务外包的解决方案。然而，无论是自动化安全流程还是外包安全职能都存在一定的风险，即使人工智能变得越来越智能，也无法完全取代经验丰富的人类分析师。

Insight Engines 程序试图通过计算机来处理复杂的网络安全工作，同时确保人类分析师能够有效地控制每次调查。该程序完全在现场部署，避免了隐私泄露的风险，并且无需担心外部连接的问题。

Insight Engines 的核心是一个自然语言处理系统，它能够连接复杂的后端编程接口。它的目标是使网络安全团队中的任何成员都能够用简单的语言提出查询，系统再将这些查询转化为高级查询语句，从所有可用的数据资源中返回查询结果。

目前，Insight Engines 只能在 Splunk 上运行，但可以访问所有已集成到这一流行的安全信息与事件管理(SIEM)平台中的安全工具。对于现有的 Splunk 用户来说，激活 Insight Engines 大约需要30分钟，程序会在一天内检查所有接入的数据，并持续学习，最终实现与受保护网络的同步。新用户可能需要一到两周的时间来清理和优化数据，以便 Insight Engines 发挥出最佳的安全效能。

在实际应用中，网络安全分析师可以使用 Insight Engines 提出诸如“这个月我们网络中是否有主机与某个国家通信？”这样的问题。测试结果显示，该程序能够给出肯定的答案，并提供详细的通信记录，包括涉及的文件、主机、客户端和用户，以及这些通信是否触发了现有的安全工具警报。Insight Engines 还可以生成一张地图，显示数据包流向该国的具体位置。

即使查询问题变得更加具体，Insight Engines 也能保持稳定。例如，当被问及“是否有用户登录尝试超过500次才成功？”时，程序提供了几个用户名，其中包括一个名为 Bob Smith 的超级用户。随后可以进一步询问：“Bob Smith 昨天成功登录后访问了哪些服务和数据？”甚至可以提出更复杂的问题，如比较 Bob Smith 在500次登录尝试失败前后的行为模式。这类查询和思考方式是网络威胁猎手的重要技能，但由于低级别分析师不知道如何构造查询语句，而高级威胁猎手又要花费大量时间编写和优化脚本，因此威胁往往长时间未被发现。

Insight Engines 在后台帮助人类分析师完成这些繁琐的工作。实际上，它生成的每个查询都是 Splunk 的加速查询请求，而只有极少数的 Splunk 用户知道如何构造高级查询。即使是这些精英用户，也需要花费时间来编写查询，而且一个小的拼写错误就可能导致查询失败。Insight Engines 可以在几秒钟内构建出加速查询语句，分析师还可以检查这些语句。如果他们是加速查询方面的专家，还可以调整语句以呈现不同的信息。但是，使用 Insight Engines 的自然语言查询功能，就像与程序对话一样简单。

Insight Engines 的自然语言查询功能解决了网络安全领域的人力资源问题。对于低级别的安全人员来说，该程序使他们无需掌握 Splunk 编程技术或拥有数据科学背景就能进行网络安全威胁的追踪。事实上，经过简单的培训，公司甚至可以让熟悉犯罪行为模式的退休警察来从事网络安全威胁的追踪工作。即使不具备编程技能，他们也可以依靠直觉进行威胁追踪，并很快成为网络安全团队中不可或缺的一部分。

而对于高级安全人员来说，Insight Engines 可以快速生成 Splunk 加速查询，为他们节省大量时间，使其能够更快地追踪威胁，判断网络是否面临风险。高级安全人员还可以使用该程序设置日常查询以实现安全流程的自动化。例如，可以设定一个登录失败的阈值，让 Insight Engines 每天自动查询超出该阈值的用户，并在发现异常时触发警报。

尽管 Insight Engines 目前只能在 Splunk 上运行，但这并不是什么大问题。已经部署了 Splunk 的企业没有理由不添加 Insight Engines。该程序可以帮助不同技术水平的分析师，甚至弥补调查人员的编程经验或 IT 技术短板，使那些具有敏锐直觉但缺乏编程技能的调查人员能够胜任 SIEM 岗位。只要用户对网络运营有一定的了解，就可以利用 Insight Engines 发现潜在威胁。对于高级分析师而言，这不仅是一个节省时间的工具，更是在关键时刻发挥巨大作用的利器。