CTI-REALM: Un benchmark innovador para la generación de reglas de detección con agentes de IA

Introducción a CTI-REALM

CTI-REALM (Cyber Threat Intelligence - Rule Engineering and Learning Model) es el nuevo benchmark de Microsoft diseñado para evaluar agentes de inteligencia artificial en la creación de reglas de detección a partir de inteligencia de amenazas cibernéticas (CTI). Este enfoque busca cerrar la brecha entre la recopilación de datos de amenazas y la implementación de detecciones validadas en sistemas de seguridad.

A diferencia de benchmarks tradicionales que se centran en tareas específicas de clasificación o generación de texto, CTI-REALM aborda el desafío de extremo a extremo: desde la interpretación de CTI hasta la generación de reglas de detección que puedan ser directamente aplicadas en sistemas de seguridad como SIEMs (Security Information and Event Management).

¿Por qué es importante CTI-REALM?

La ingeniería de detección basada en CTI es una tarea crítica pero compleja. Los analistas de seguridad deben traducir datos de amenazas en reglas que puedan identificar patrones maliciosos en tiempo real. Este proceso, que tradicionalmente requiere experiencia humana, es propenso a errores y consume tiempo. CTI-REALM permite evaluar cómo los agentes de IA pueden automatizar este flujo de trabajo, reduciendo la carga manual y mejorando la eficacia de las detecciones.

Note: CTI-REALM no solo evalúa la capacidad de los agentes para generar reglas, sino también su habilidad para validar estas reglas en escenarios reales de amenazas.

Componentes principales de CTI-REALM

1. Dataset de CTI

El benchmark incluye un dataset extenso que combina datos estructurados y no estructurados provenientes de fuentes de inteligencia de amenazas. Estos datos incluyen:

• Informes de amenazas cibernéticas (CTI reports).
• Indicadores de compromiso (IoCs).
• Descripciones de tácticas, técnicas y procedimientos (TTPs).

2. Motor de validación

CTI-REALM incorpora un motor de validación que ejecuta las reglas generadas por los agentes en entornos simulados para evaluar su precisión y cobertura. Esto asegura que las reglas sean efectivas y no generen falsos positivos.

3. Métricas de evaluación

Las métricas clave incluyen:

• Precisión de detección: ¿Cuántas amenazas reales fueron detectadas?
• Tasa de falsos positivos: ¿Cuántos eventos legítimos fueron clasificados erróneamente como amenazas?
• Tiempo de generación: ¿Cuánto tiempo tomó el agente para generar una regla válida?

Ejemplo práctico: Generación de reglas con un agente de IA

A continuación, presentamos un ejemplo práctico de cómo un agente de IA puede usar CTI-REALM para generar reglas de detección.

Paso 1: Interpretación de CTI

El agente recibe un informe CTI con el siguiente contenido:

Threat: Phishing campaign targeting financial institutions.
IoCs: 
  - Domain: malicious-bank-login.com
  - IP: 192.168.10.5
TTPs: 
  - Spear phishing emails with malicious links.

Paso 2: Generación de reglas

El agente utiliza un modelo de lenguaje avanzado para interpretar el informe y generar una regla de detección en formato YAML compatible con un SIEM. Ejemplo:

rule:
  id: "phishing_detection_001"
  name: "Phishing Campaign Detection"
  conditions:
    - event_type: "email"
    - body_contains: ["malicious-bank-login.com"]
    - sender_domain: ["example.com"]
  actions:
    - alert: "High severity phishing attempt detected"
    - log: "Log phishing detection event"

Paso 3: Validación

El motor de validación ejecuta la regla en un entorno simulado con eventos de prueba. Resultados:

• Detecciones correctas: 95%
• Falsos positivos: 3%
• Tiempo de generación: 15 segundos

Warning: Aunque los resultados son prometedores, la validación en entornos reales puede revelar limitaciones no detectadas en simulaciones.

Implementación en Azure

CTI-REALM puede integrarse con servicios de Azure como Azure AI y Microsoft Sentinel para maximizar su utilidad. Por ejemplo:

Integración con Azure AI

Los modelos de lenguaje de Azure AI pueden ser entrenados con el dataset de CTI-REALM para mejorar su capacidad de interpretar informes de amenazas y generar reglas de detección. Esto se puede realizar mediante pipelines de aprendizaje supervisado.

Uso en Microsoft Sentinel

Las reglas generadas por CTI-REALM pueden ser directamente implementadas en Microsoft Sentinel para monitorear eventos en tiempo real. Ejemplo de integración:

az sentinel alert-rule create \
  --name "Phishing Campaign Detection" \
  --resource-group "SecurityRG" \
  --workspace-name "SentinelWorkspace" \
  --query "SecurityEvent | where EventID == 4688 and CommandLine contains 'malicious-bank-login.com'" \
  --severity "High"

Comparación con otros enfoques

CTI-REALM se diferencia de otros benchmarks en su enfoque holístico. Mientras que herramientas como MITRE ATT&CK evalúan tácticas y técnicas, CTI-REALM se centra en la generación y validación de reglas completas, lo que lo hace más adecuado para escenarios operativos.

Conexiones con otros artículos

Si te interesa profundizar en el uso de agentes de IA en tareas complejas, te recomendamos:

• Actualizaciones en la recuperación agentiva de Azure AI Search: Fuentes de conocimiento y síntesis de respuestas
• Conversational language understanding — Microsoft Learn
• Construyendo Agentes Inteligentes con Microsoft Foundry IQ en Microsoft AI
• Agentic retrieval in Azure AI Search — Microsoft Learn

Conclusión

CTI-REALM representa un avance significativo en la evaluación de agentes de IA para la ingeniería de detección. Su enfoque de extremo a extremo, combinado con capacidades de validación robustas, lo posiciona como una herramienta esencial para automatizar y optimizar la seguridad cibernética. Con su integración en Azure y Microsoft Sentinel, las organizaciones pueden aprovechar esta tecnología para mejorar la detección de amenazas en tiempo real.

Note: Para explorar más sobre CTI-REALM y su impacto en la seguridad cibernética, consulta la fuente oficial en el blog de Microsoft Security.