Perguntas frequentes sobre o Investigation Assistant
Use estas perguntas e respostas frequentes para ajudá-lo a entender o QRadar Investigation Assistant.
- Quais fatores influenciam o custo da assinatura do watsonx?
- Como isso beneficia os MSSPs?
- Há suporte para a implementação local do site watsonx?
- São necessários módulos ou licenças adicionais no QRadar SIEM?
- Ele oferece insights de segurança além das ofensas do QRadar?
- Como os dados são criptografados e transmitidos de forma segura ao usar o aplicativo?
- Como ele se diferencia do QRadar Watson Advisor (QRAW)?
- Quais insights adicionais o aplicativo fornece se um artefato for considerado malicioso?
- O Investigation Assistant cumpre as leis de residência de dados quando você transmite dados ofensivos a um LLM pela Internet?
- Quais dados ofensivos estão sendo enviados para watsonx.ai?
- Os dados são transmitidos para watsonx.ai automaticamente ou somente quando o usuário os inicia?
- Os dados são usados para treinar modelos watsonx?
- A funcionalidade de geração de AQL levará em consideração os dados do meu ambiente para gerar consultas AQL sensíveis ao contexto?
- Se for necessário editar o AQL gerado, isso será possível?
Quais fatores influenciam o custo da assinatura do watsonx?
O custo para um cliente mais básico depende principalmente do número de tokens de entrada e saída usados durante as interações com o Investigation Assistant. No entanto, o custo também depende do fato de os clientes precisarem de alguns dos recursos avançados do watsonx.ai. Recomenda-se que os clientes/parceiros consultem os níveis de preços do watsonx.ai em watsonx.ai pricing para compreender as implicações de custo ou entrem em contato com seu representante da IBM.
| watsonx assinatura | Caso de uso | Modelo de IA | Caso de uso | Uso diário (Caso de uso) | Uso mensal (dias de Tokens/30 ) | Custo total (arredondado) / mês |
|---|---|---|---|---|---|---|
| Essenciais | Resumo do ataque | llama-3-3-70b-instruct | 1 Resumo da infração = 2.5k Fichas | 150 infrações | 4.5k Infrações = Fichas do programa “ 11.25M ” | $7.98 |
| Perguntas e respostas | llama-3-3-70b-instruct | 1 pergunta e resposta = 500 tokens | 450 perguntas | 13.5k Perguntas = 6.75M Tokens | $4.79 | |
| Geração AQL | llama-4-maverick-17b-128e-instruct-fp8 | 1 geração de AQL = 35k tokens | 60 gerações de AQL | 1.8k Gerações AQL = Tokens da 63M | $88.2 | |
| llama-3-3-70b-instruct | 1 geração de AQL = 25k tokens | 60 gerações de AQL | 1.8k Gerações AQL = Tokens da 45M | $31.95 | ||
| Explicação sobre o AQL | llama-3-3-70b-instruct | 1 Explicação sobre o AQL = Fichas do 4k | Explicações sobre o AQL de 50 | 1.500 explicações de consultas AQL = 6M tokens | $4.26 |
Como isso beneficia os MSSPs?
As principais funcionalidades do aplicativo estão disponíveis para os provedores de serviços gerenciados de segurança (MSSPs). Com suporte para resumo de ofensas, os MSSPs podem saber sobre vetores de ataque, que podem afetar o IP de origem ou o IP de destino, nomes de host e usuários. Os MSSPs podem usar as etapas recomendadas para investigação e atenuação adicionais.
Há suporte para a implementação local do site watsonx?
O aplicativo Investigation Assistant suporta oficialmente apenas a assinatura watsonx SaaS.
São necessários módulos ou licenças adicionais no QRadar SIEM?
O Investigation Assistant não requer nenhum módulo ou licença adicional no QRadar SIEM para sua total funcionalidade. Sim, o Investigation Assistant é compatível com a versão mais recente do site QRadar Community Edition.
Ele oferece insights de segurança além das ofensas do QRadar ?
A primeira versão do aplicativo Investigation Assistant suporta oficialmente apenas o Offense Summarization como o primeiro caso de uso. A partir de hoje, o aplicativo responde a algumas das consultas relacionadas à segurança cibernética, em geral, e associadas ao QRadar.
Como os dados são criptografados e transmitidos de forma segura ao usar o aplicativo?
O Investigation Assistant utiliza a criptografia Transport Layer Security ( TLS ) para transmitir dados com segurança.
Como ele se diferencia do QRadar Watson Advisor (QRAW)?
O Investigation Assistant usa modelos de linguagem ampla (LLMs) para gerar respostas a solicitações humanas inseridas em linguagem natural. A QRAW não tem nenhum chatbot ou recursos de IA generativa. A experiência do usuário é de conversação e, portanto, é diferente do QRAW.
Quais insights adicionais o aplicativo fornece se um artefato for considerado malicioso?
Se um artefato for identificado como malicioso, o aplicativo fornecerá insights valiosos para ajudar os analistas de segurança a investigar possíveis ameaças. Os usuários podem fazer perguntas de acompanhamento para obter contexto e detalhes adicionais, o que lhes permite entender as implicações do artefato malicioso e tomar medidas informadas.
O Investigation Assistant cumpre as leis de residência de dados quando você transmite dados ofensivos a um LLM pela Internet?
O Investigation Assistant foi projetado de forma que os dados residam apenas em QRadar nas instalações do cliente e não precisem ser espelhados na nuvem IBM. A API de ofensas do QRadar fornece informações específicas sobre ofensas ao watsonx.ai por meio da API para o recurso de resumo de ofensas. Para obter mais informações, consulte “Mantendo seus dados seguros e em conformidade ”.
Quais dados ofensivos estão sendo enviados para watsonx.ai?
watsonx recebe dados de violações do endpoint QRadarOffenseAPI : GET /siem/offenses/ {offense_id}.This inclui detalhes resumidos da violação, como ID, descrição, magnitude, endereços IP de origem e destino e informações sobre a regra.
Os dados são transmitidos para watsonx.ai automaticamente ou somente quando o usuário os inicia?
Os dados são transmitidos somente quando são iniciados pelo usuário. Por exemplo, os dados são transmitidos quando um usuário clica no resumo watsonx na janela Ofensa ou interage com o chatbot com tecnologia de IA. Nenhum dado é enviado automaticamente ou em segundo plano sem a ação do usuário.
Os dados são usados para treinar modelos watsonx?
Não, o watsonx não usa dados de clientes para treinar modelos de base. Isso garante que as informações confidenciais ou proprietárias permaneçam privadas e não sejam usadas para melhorar ou treinar novamente os modelos de IA subjacentes. Para obter mais detalhes, consulte a documentação do IBM sobre segurança e privacidade para modelos de base.
A funcionalidade de geração de AQL levará em consideração os dados do meu ambiente para gerar consultas AQL sensíveis ao contexto?
O modelo de IA leva em consideração as Propriedades de Eventos Personalizadas (CEPs) do seu ambiente, bem como as Categorias de Eventos de alto nível e as Categorias de Eventos de baixo nível, para gerar consultas AQL sensíveis ao contexto.
Se for necessário editar o AQL gerado, isso será possível?
Sim, um analista de segurança pode querer modificar a consulta AQL gerada anteriormente para alterar o objetivo da busca ou da investigação, ou para alterar o valor de um parâmetro específico. Eles poderão fazer isso com a ajuda de instruções em linguagem natural após receberem a consulta AQL gerada pela IA.