تقليل إجهاد التنبيهات باستخدام وكلاء الذكاء الاصطناعي

تعاني فِرَق هندسة موثوقية الموقع وعمليات التطوير من الإرهاق. الانتشار الواسع للبنية التحتية لتكنولوجيا المعلومات وزيادة عدد الأدوات وطبيعة العمل التي تتطلب التواجد عند الاستدعاء، كلها عوامل تُسهم في مشكلة رئيسية واحدة - إجهاد التنبيهات.

يشير إجهاد التنبيهات (يُطلق عليه أحيانًا إجهاد الإنذار) إلى "حالة الإرهاق العقلي والتشغيلي الناتج عن عدد هائل من التنبيهات". فهو يقلل من سرعة وكفاءة فِرَق عمليات التطوير ومراكز العمليات الأمنية (SOC) وهندسة موثوقية الموقع (SRE) وغيرها من الفِرَق المسؤولة عن أداء وأمن تكنولوجيا المعلومات، ويُعَد مشكلة واسعة النطاق وذات عواقب كبيرة.

أظهر تقرير Vectra "حالة اكتشاف التهديدات لعام 2023" (المستند إلى مسح شمل 2,000 محلل أمني في شركات تضم 1,000 موظف أو أكثر) أن فرَق SOC تتعامل في المتوسط مع 4,484 تنبيهًا يوميًا. من بين هؤلاء، يتم تجاهل 67%؛ بسبب الحجم الكبير من الإيجابيات الزائفة وإجهاد التنبيهات. كما أظهر التقرير أن 71% من المحللين يعتقدون أن مؤسساتهم قد تكون قد تعرَّضت للاختراق بالفعل دون علمهم؛ بسبب نقص الرؤية وضعف الثقة في قدرات اكتشاف التهديدات.

في حين أن تقرير Vectra يركِّز على الأمن بشكل خاص، تواجه الفرق المكلَّفة بمراقبة أداء التطبيقات والبنية التحتية عبئًا زائدًا مماثلًا. على سبيل المثال، يمكن لتكوين خاطئ واحد أن يتسبب في مئات أو آلاف التنبيهات المتعلقة بالأداء، وهو ما يُعرَف باسم "عاصفة التنبيهات"، التي قد تشتت انتباه فِرَق تكنولوجيا المعلومات أو تجعلها أقل حساسية، ما يؤدي إلى تأخر الاستجابة للتنبيهات الحرجة والمشكلات الفعلية. هذه المشكلات الحقيقية يمكن أن تكون مكلِّفة.

ما الذي يسبب هذا الإرهاق، وهل يمكن للذكاء الاصطناعي الوكيل أن يكون جزءًا من حل قابل للتوسع؟

هناك عدة أسباب، وغالبًا ما يُشار إلى حجم البيانات الكبير كأحدها، لكن التركيز على حجم البيانات وحده يُخفي مشكلة أساسية - جودة البيانات والسياق.

عندما تتعامل الفِرَق مع كميات كبيرة من البيانات منخفضة الجودة والتي تفتقر للسياق، وتغذي عشرات من مصادر استعلامات التهديدات أو الأداء المختلفة، فمن المؤكد أنها ستواجه المشكلات. هذا هو نوع البيئة التي تنتشر فيها الإيجابيات الزائفة والتنبيهات المكررة، حيث يشتت الضجيج منخفض الأولوية الانتباه عن التهديدات الحقيقية ومشكلات الأداء. هذه "الإنذارات الزائفة" يمكن أن تستنزف طاقة فِرَق تكنولوجيا المعلومات وعمليات التطوير والأمن.

ببساطة، إدخال هذه التدفقات الضخمة من القياسات عن بُعد في نموذج لغوي كبير (LLM) ليس حلًا قابلًا للتطبيق أيضًا. أولًا، يُعَد هذا هدرًا في قدرات الحوسبة. كما أنه طريقة مثالية لإنتاج الهلوسات.

يبدأ الحل العملي بتطوير سير عمل يعمل على تجميع البيانات غير المنسقة ودمج هذه البيانات عالية الجودة والغنية بالسياق ضمن منصة مركزية. عندها يمكن استخدامه لقابلية الملاحظة على مستوى المؤسسة وتدريب نماذج الذكاء الاصطناعي المحلية.

غالبًا ما تستخدم المؤسسات العديد من حلول مراقبة الأداء والأمن - فالمؤسسات الكبيرة تمتلك في المتوسط 76 أداة أمنيّة. قد تكون هذه الأدوات مخصصة لفريق أو منتج معين، أو لبيئة تكنولوجيا معلومات محددة (مثل الحلول المحلية مقابل الحلول السحابية).

قد تكون كل واحدة من هذه الأدوات مسؤولة عن مراقبة عشرات أو مئات التطبيقات أو واجهات برمجة التطبيقات أو الخوادم، حيث يغذي كل منها مسار بيانات خاصًا به. مع وجود هذه الصوامع، يمكن أن تولِّد الأدوات المنفصلة عدة تنبيهات ناتجة عن المشكلة الأساسية نفسها. يَحُدّ هذا النقص في التكامل من الرؤية، ما يُعيق الربط بين التنبيهات وتحليل السبب الأساسي. يُضيِّع مهندسو موثوقية الموقع (SREs) وقتهم في متابعة كل واحدة من هذه التنبيهات قبل اكتشاف التكرارات.

عندما لا يتم دمج تدفقات البيانات في نظام مراقبة شامل، لا تمتلك فِرَق تكنولوجيا المعلومات قابلية الملاحظة على مستوى النظام اللازمة لربط التنبيهات بكفاءة وتحليل السبب الأساسي والمعالجة.

وما هو أسوأ من ذلك، أن غياب التكامل يعيق فاعلية أدوات الأتمتة لإدارة التنبيهات، مثل مهام سير العمل الخاصة بتصنيف التنبيهات وربطها، والمُعدّة للمساعدة على الكشف عن المشكلات وحلها وتقليل حجم التنبيهات. تضطر الفِرَق إلى ربط النقاط يدويًا، وهي مهمة شاقة وتستغرق وقتًا طويلًا، إن لم تكن مستحيلة.

أظهر استطلاع مذكور في تقرير Deloitte "الدفاع التكيفي: التنبيهات المخصصة للتهديدات الحديثة" أن "نقص الرؤية أو السياق من أدوات الأمن أدى إلى تفويت 47% من الهجمات خلال فترة 12 شهرًا".

على الرغم من أن الوكلاء الفرديين لا يحتاجون بالضرورة إلى المركزية، فإن المنصة المركزية حيث يتم تجميع البيانات من الوكلاء تسهِّل التحليل والتخزين والتصور على مستوى النظام.

نعم، بشرط وجود استراتيجية محددة.

أثار تقرير حديث من MIT جدلًا واسعًا بادعائه أن "95% من المؤسسات لا تحقِّق أي عائد" على استثماراتها في الذكاء الاصطناعي التوليدي. 

بغض النظر عن الإحصائية المثيرة للجدل وتتابُع الآراء التي جمعها التقرير، يُبرِز التقرير موضوعًا مهمًا: فشل العديد من مشاريع الذكاء الاصطناعي بسبب "سير العمل الهش ونقص التعلم في السياق وسوء التوافق مع العمليات اليومية". كما تُشير Marina Danilevsky، الباحثة العليا في IBM، في بودكاست Mixture of Experts الأخير، فإن أنجح عمليات النشر هي التي تكون "مركَّزة ومحددة النطاق وتعالج مشكلة حقيقية".

يؤكِّد تقرير MIT أن الشركات التي تنظر إلى الذكاء الاصطناعي على أنه حل سحري أو شيء يمكن إدخاله بشكل عشوائي في أي عملية، من غير المرجَّح أن تحقِّق عائدًا على استثماراتها. والمؤسسات القادرة على دمج أدوات الذكاء الاصطناعي بشكل استراتيجي في سير العمل لحل مشكلة محددة، وتعزيز هذه الأدوات بمرور الوقت، تكون أكثر جاهزية للنجاح.

يمكن لحل قابلية الملاحظة أو الحل الأمني القادر على دمج التعلم الآلي التكيفي وتحديد الأولويات في السياق والذكاء الاصطناعي القابل للتفسير والأتمتة المدعومة بالذكاء الاصطناعي والمعلومات في الوقت الفعلي ضمن استراتيجية متكاملة، أن يمكِّن الفِرَق من إنشاء سير عمل أقوى يساعد على ربط التنبيهات وتحديد أولوياتها ومعالجة تنبيهات الأداء أو الأمن.

يمكن لوكلاء الذكاء الاصطناعي تحسين الأنظمة التقليدية التي تعتمد على قواعد ثابتة وحدود محددة مسبقًا، من خلال أخذ عوامل مثل أهمية الأصول وضمانات الأداء وملفات المخاطر والتوجهات التاريخية في الاعتبار. 

على سبيل المثال، لنتخيَّل سير عمل للكشف عن الحوادث ومعالجتها بعد وقوعها، وكيف يمكن لوكيل الذكاء الاصطناعي مساعدة فريق هندسة موثوقية الموقع (SRE).

يصل إشعار إلى نظام التنبيهات يشير إلى ارتفاع استخدام وحدة المعالجة المركزية لأحد العُقَد في مجموعة Kubernetes. في النظام التقليدي، قد يحتاج متخصصو هندسة موثوقية الموقع إلى تمشيط بيانات MELT (المقاييس والأحداث والسجلات والتتبعات) والتبعيات لتحديد السبب الأساسي.

في هذا السيناريو الافتراضي لسير العمل الوكيل، يستخدم الوكيل رسم المعرفة لأداة قابلية الملاحظة وربطًا واعيًا بالبنية، لسحب بيانات القياس عن بُعد المتعلقة فقط بالتنبيه (مثل سجلات الخدمات العاملة على تلك العقدة وعمليات النشر الأخيرة وبيانات القياس عن بُعد من خادم وجهة برمجة تطبيقات Kubernetes أو موازنات الأحمال التي توجِّه المرور إلى العقدة أو المجموعة). وبفضل هذه المعلومات الإضافية، يمكن للوكيل إثراء التنبيهات الأولية وتوفير قياس عن بُعد غني بالسياق لنموذج ذكاء اصطناعي محلي مدرَّب على بيانات الأداء والمعايير.

يستبعد الوكيل المعلومات غير ذات الصلة، مثل سجلات الخدمات غير المرتبطة التي تعمل بالصدفة على المجموعة نفسها. أثناء جمع هذا السياق، يمكن للوكيل أيضًا تحديد الإشارات ذات الصلة وربط التنبيهات التي من المحتمل أن تنبع من السبب الأساسي نفسه، وتجميع هذه التنبيهات معًا ليتم التحقيق فيها كحادث واحد.

باستخدام هذه المعلومات، يمكن للنموذج اقتراح فرضية. يمكن للوكيل أيضًا طلب المزيد من المعلومات (مثل التحقق من إعدادات الحاويات أو بيانات السلاسل الزمنية المتعلقة بارتفاع الاستخدام) لفحص فرضية النموذج وتنقيحها، وإضافة سياق إضافي قبل اقتراح السبب الأساسي المحتمل.

يُعَد استخدام الذكاء الاصطناعي القابل للتفسير والوكلاء جزءًا أساسيًا من حل مشكلة الثقة، من خلال "رؤية ما بداخل الصندوق الأسود"، أي فهم كيفية عمل أداة الذكاء الاصطناعي داخليًا.

الذكاء الاصطناعي القابل للتفسير (XAI) "هو مجموعة من العمليات والأساليب التي تمكِّن المستخدمين البشريين من فهم النتائج والمخرجات التي تولِّدها خوارزميات التعلم الآلي، والثقة بها".

بالإضافة إلى السبب الأساسي المحتمل، يمكن للوكيل تقديم الشرح من خلال سلسلة أفكاره -عملية استدلاله- مع الأدلة الداعمة التي توضِّح كيفية توصُّله إلى السبب الأساسي المقترح. قابلية التفسير هذه والأدلة الداعمة:

- تمكِّن البشر من معرفة السبب وراء التوصية بشيء أو تصفية شيء ما بطريقة معينة.

- توفِّر الشفافية اللازمة لمراجعة تحليل الوكيل واقتراحه، وتقييم إذا ما كان يمكن الوثوق به.

يمكن أن تُعاد نتائج تحليل وتقييم فِرَق هندسة موثوقية الموقع لتوصيات الوكيل إلى النموذج لتحسين الدقة بشكل أكبر.

هناك عدة طرق للمُضي قدمًا نحو الحل. يمكن للفِرَق تحديد مستوى الاستقلالية الذي تمنحه للوكيل، أو ضبط هذه الاستقلالية بناءً على نوع الحادث أو شدته أو البيئة أو عوامل أخرى. تشمل الخطوات التالية ما يلي:

- التحقق من الصحة: يمكن للوكيل إنشاء خطوات تساعد فِرَق هندسة موثوقية الموقع وعمليات التطوير على التحقق من صحة السبب الأساسي الذي حدده الوكيل. يساعد هذا في الحفاظ على المدخلات البشرية في النظام.

- دليل التنفيذ: عند التحقق من صحته، يمكن للوكيل إعداد دليل خطوة بخطوة لإجراءات المعالجة (دليل التنفيذ). وهو برنامج نصي يمكن لأعضاء الفريق اتِّباعه لحل المشكلة.

- البرامج النصية للأتمتة: يمكن للوكيل أيضًا اتخاذ الإجراءات التي اقترحها وإنشاء مهام سير العمل (البرامج النصية للأتمتة). وقد يحوِّل خطوات دفتر التنفيذ هذه إلى مقتطف من دليل Ansible مع بناء جملة الأوامر ومَعلمات الخطوات.

- الوثائق: يمكن للوكلاء إنشاء وثائق تلقائية، مثل تقييم ما بعد الحادث، والذي يتضمن تلخيص الحادث والإجراءات المتخذة وأسبابها. يمكن للوكيل أيضًا إعداد ملخص أثناء سير العمل يساعد الأشخاص الجُدُد في المهمة على فهم ما يجري بسرعة. ويمكن استخدام هذه الوثائق للتعلم المعزز.   

تساعد كل هذه الخطوات على تحسين الاستجابة للحوادث وتقليل متوسط الوقت اللازم للإصلاح. للحصول على فيديو تفصيلي لفرضية مماثلة، انقر هنا.

يمكن استخدام أطر عمل الذكاء الاصطناعي لتحسين جوانب مختلفة من إجهاد التنبيهات، مثل تحديد أولويات التنبيهات القابلة للتنفيذ عبر بيئة تكنولوجيا المعلومات.

في ورقة بحثية تم نشرها في عام 2023 بعنوان "That Escalated Quickly: An ML Framework for Alert Prioritization"، قدَّم Gelman وآخرون إطار تعلم آلي مصممًا لتقليل إجهاد التنبيهات مع الحد الأدنى من التغييرات على مهام سير العمل الحالي، من خلال نظام تقييم لمدى قابلية التنفيذ على مستوى التنبيهات والحوادث. عند تطبيقه على بيانات العالم الحقيقي، ساعَد نموذج TEQ على تقليل وقت الاستجابة للحوادث القابلة للتنفيذ بنسبة 22.9%، وإلغاء 54% من التنبيهات الخطأ، مع معدل اكتشاف بلغ 95.1%. وساهم أيضًا في تقليل عدد التنبيهات ضمن الحوادث الفردية بنسبة 14%^.1

في دراسة بعنوان "Advancing Autonomous Incident Response: Leveraging LLMs and Cyber Threat Intelligence"، يوضِّح Tellache وآخرون كيف يمكن لإطار عمل قائم على التوليد المعزز بالاسترجاع (RAG) تحسين حل الحوادث من خلال دمج البيانات من مصادر معلومات التهديدات الإلكترونية.²يمكن استخدام حل مماثل يستعين بالوكلاء لبناء نهج RAG لإضافة سياق أكبر لبيانات الأداء، مثل استرجاع حدود الأداء المتفق عليها من اتفاقيات مستوى الخدمة (SLAs) في المؤسسة للمساعدة على تحديد تنبيهات التطبيقات التي يجب منحها الأولوية.

قد تستخدم فِرَق تكنولوجيا المعلومات عدة وكلاء لتحسين عمليات التنبيهات، حيث يتم تصميم كل وكيل لمعالجة جانب مختلف من إجهاد التنبيهات، مثل وكيل فرز الحوادث الذي يحدِّد التهديدات الحرجة للانتباه الفوري لها، أو وكيل التوجيه الذي يستلم التنبيهات ذات الأولوية ويوجهها إلى الفريق المناسب مع الوثائق والتحليلات.

من خلال توجيه البيانات إلى مركز مركزي، يمكن للمؤسسات المساعدة في القضاء على النقاط العمياء وتزويد الوكلاء بفهم أكثر شمولية للبيئة التي يعملون فيها. يكون الذكاء الاصطناعي أكثر فاعلية عند التعامل مع بيانات عالية الجودة وموثوق بها، ويمكن للمنصة المركزية أن تساعد على ضمان تطبيق معايير حوكمة البيانات بشكل موحَّد. ومع توسُّع المؤسسات في حلول الذكاء الاصطناعي، تؤدي هذه المنصة دورًا محوريًا في الحفاظ على اتساق إدارة البيانات ونشر الوكلاء عبر وحدات الأعمال.

هل يمكن لإحدى المؤسسات "استخدام الذكاء الاصطناعي" والتخلص من طوفان التنبيهات؟ لا. هل يمكن للنماذج والوكلاء المدرَّبين جيدًا أن يساعدوا على تحليل وتجميع بيانات القياس، وتصنيف التنبيهات لتخفيف العبء عن فِرَق تكنولوجيا المعلومات؟ هناك أسباب أكثر للتفاؤل في هذا المجال.

يعتمد النجاح في استخدام الذكاء الاصطناعي والوكلاء لتخفيف إجهاد التنبيهات على عدة عوامل رئيسية: تحديد حالة استخدام محددة والتنفيذ الاستراتيجي وقدرة الذكاء الاصطناعي على التعلم والتحسين بالتوازي مع البيئات الديناميكية. يجب على قادة المؤسسات فهم المتطلبات والاستعداد لإجراء التغييرات الثقافية وتخصيص الموارد اللازمة لضمان عمل النظام، بالإضافة إلى اختيار مزوِّد أدوات يمكن تكييفها لتلبية احتياجاتهم.