Direkt zum Hauptinhalt
Kunden

Barracuda macht Sicherheitslogs mit Genie dialogfähig

Einblick in die KI-gestützte Log-Suche in Barracuda Managed XDR, basierend auf Databricks Genie mit Mandantenisolierung auf Zeilenebene in Unity Catalog.

von Barracuda XDR Engineering Team

  • Barracuda Managed XDR nutzt jetzt Genie, um Analysten die Suche in Sicherheitslogs in natürlicher Sprache anstelle von SQL zu ermöglichen, und bietet so eine Multi-Tenant-Bedrohungserkennung für Tausende von Kunden und MSPs.
  • Untersuchungen, die zuvor Schema-Expertise über Dutzende von Anbieterformaten hinweg erforderten, können nun von jedem Teammitglied durchgeführt werden, wobei die Ergebnisse in Sekundenschnelle vorliegen.
  • Sicherheit auf Zeilenebene (Row-Level Security) in Unity Catalog erzwingt die Mandantenisolierung auf der Datenebene, sodass dieselbe Funktion in Tausenden von Kundenorganisationen sicher funktioniert.

Wenn ein Sicherheitsanalyst auf eine verdächtige Anmeldung oder eine ungewöhnliche Firewall-Blockierung aufmerksam gemacht wird, liegt die Antwort fast immer in den Logs. Sie zu finden, ist der schwierige Teil.

Barracuda Managed XDR ist ein KI-gestützter Sicherheitsdienst, der fortschrittliche Erkennung mit einem dedizierten Security Operations Center (SOC) kombiniert, um Unternehmen beim Schutz vor, der Erkennung von und der Reaktion auf Bedrohungen in Endpunkten, Netzwerken, E-Mails und Cloud-Umgebungen zu unterstützen.

Dieser Schutz basiert auf einer riesigen Menge an Sicherheitslogs von Firewalls, Endpunkten, Identitätsanbietern, Cloud-Plattformen und E-Mail-Gateways in Tausenden von Kundenumgebungen. Jede Quelle von WatchGuard, Fortinet, Palo Alto, Microsoft 365 und AWS hat ihr eigenes Schema und eigene Feldnamen. Antworten aus diesen Daten zu gewinnen, bedeutete in der Vergangenheit, SQL-Abfragen zu schreiben und sich durch die Inkonsistenzen und proprietären Formate der Daten der einzelnen Anbieter zu navigieren.

Das Engineering-Team von Barracuda wollte das ändern. Sie wollten, dass jeder Analyst, MSP-Techniker oder Sicherheitsmanager die Daten direkt abfragen kann, ohne vorher zum Experten für ein Dutzend Log-Formate werden zu müssen.

Die von ihnen entwickelte Lösung ist die KI-gestützte Log-Suche, die auf Genie basiert und direkt in das XDR-Dashboard integriert ist. Benutzer stellen Fragen wie „Zeige mir fehlgeschlagene Anmeldeversuche von externen IPs in den letzten 24 Stunden“ und erhalten in Sekundenschnelle Ergebnisse, wobei die Multi-Tenant-Isolierung auf der Datenebene erzwungen wird.

Möchten Sie eine detaillierte technische Aufschlüsselung der Funktionsweise? Lesen Sie den Beitrag des Barracuda-Engineering-Teams.

Warum war die Log-Suche bisher ein Engpass?

Vor der KI-gestützten Log-Suche verlief eine Untersuchung in der Regel auf eine von zwei Arten.

Wenn der zuständige Analyst die relevanten Schemata für die spezifische Datenquelle kannte, konnte er die Daten selbst abfragen. Das bedeutete, dass eine kleine Gruppe von Senior-Analysten den Großteil der unregelmäßigen Arbeit erledigte, da nur wenige die Zeit oder den Hintergrund hatten, sich in die gesamte Bandbreite der Anbieterformate einzuarbeiten.

Wenn nicht, eskalierten sie. Die Frage wurde an jemanden übergeben, der die Abfrage schreiben konnte, was zu einer Warteschlange führte. Selbst einfache Anfragen mussten warten, bis ein Senior-Analyst Zeit hatte, sich ihrer anzunehmen.

Keiner der beiden Ansätze ließ sich problemlos auf Tausende von Kunden und Partnern skalieren. Barracuda wünschte sich eine Lösung, die jedem Benutzer direkten Zugriff auf die Daten ermöglicht, ohne SQL-Kenntnisse vorauszusetzen und ohne die Mandantenisolierung zu schwächen, auf die eine Managed-Plattform angewiesen ist.

Fragen stellen, wie man sie einem Kollegen stellen würde

Die KI-gestützte Log-Suche ist direkt im XDR-Dashboard integriert. Der Benutzer gibt eine Frage ein, Genie wandelt sie in SQL um, führt sie für die Logs dieses Kunden aus und liefert die Ergebnisse in einer vertrauten Tabellenansicht zurück. Die generierte Abfrage wird neben den Ergebnissen angezeigt, sodass Analysten überprüfen können, was ausgeführt wurde, oder das SQL für das nächste Mal lernen können.

Dass dies besser funktioniert als ein herkömmliches Text-to-SQL-Tool, liegt an dem Kontext, auf den Genie Zugriff hat. Barracuda hat seinen Unity Catalog mit sicherheitsspezifischen Metadaten angereichert, einschließlich Beschreibungen für jede Spalte und Tabelle, die Netzwerk-, Server-, Cloud-, E-Mail- und Endpunktquellen abdecken. Wenn ein Benutzer also nach „blockierten Verbindungen“ fragt, kann Genie die Anfrage den richtigen Tabellen und Feldern der jeweiligen Firewall-Anbieter zuordnen, die für diesen Kunden im Einsatz sind.

Mehrstufige Dialoge (Multi-Turn-Konversationen) werden unterstützt, was der praktischen Arbeitsweise der meisten Analysten entspricht. Eine erste Frage liefert eine breite Übersicht, und Folgefragen verfeinern diese: „Jetzt nur nach den Top 10 Quell-IPs filtern“, „Zeige mir dieselben Daten für die letzte Woche“, „Interne Adressen ausschließen“. Genie führt den Kontext fort, sodass jede Folgefrage auf der vorherigen aufbaut, ohne dass alles neu formuliert werden muss.

Laut Barracuda hat Genie die Zeit bis zur Erkenntnis bei Routineuntersuchungen von Stunden auf Minuten verkürzt. Ein Junior-Analyst, der im letzten Monat noch eine komplexe Abfrage eskaliert hätte, kann diese nun selbst ausführen. Ein MSP-Techniker, der mehrere Kunden betreut, kann eine Frage sofort beantworten, anstatt sie an einen Senior-Analysten weiterzuleiten. Compliance-Teams und Sicherheitsverantwortliche können ihre eigenen Daten abrufen, ohne ein Ticket zu erstellen. Und da jede Abfrage protokolliert wird, deckt der Audit-Trail SOC 2 und ähnliche Compliance-Anforderungen ohne zusätzlichen Aufwand ab.

Diese Umstellung verändert bereits die Art und Weise, wie Barracuda mit wiederkehrenden Log-Suchanfragen umgeht. Vor Genie verließen sich Geschäftsanwender regelmäßig auf SOC-Analysten, um bestimmte Log-Suchdaten abzurufen. Das SOC-Team erhielt etwa 200 Anfragen pro Monat, wobei jede Anfrage 25 bis 30 Minuten in Anspruch nahm, um die Anfrage zu interpretieren, die richtige Datenquelle und das richtige Schema zu identifizieren, SQL zu schreiben, die Abfrage auszuführen und über Tickets zu antworten. Mit Genie können diese wiederkehrenden Anfragen im Self-Service erledigt werden, wodurch schätzungsweise 83 bis 100 Stunden der SOC-Analysten pro Monat bzw. 1.000 bis 1.200 Stunden pro Jahr eingespart werden.

Durch den Einsatz von Databricks Genie, das es unseren Partnern und SMBs ermöglicht, komplexe Sicherheitsdaten in Alltagssprache abzufragen, macht Barracuda Managed XDR die Untersuchung von Bedrohungen bemerkenswert einfach. Diese intuitive, KI-gestützte Suche ermöglicht eine schnellere Reaktion auf potenzielle Risiken und verbessert unsere allgemeine betriebliche Produktivität und Unternehmensverteidigung erheblich.—Boopathy Veerappa, Director, Cyber DevOps Engineering - Managed XDR

Die Herausforderung: Mandanten isoliert halten

Eine Schnittstelle für natürliche Sprache zu Sicherheitslogs ist nur dann nützlich, wenn sie sicher auf einer gemeinsam genutzten Plattform für Tausende von Kunden bereitgestellt werden kann. Eine Abfrage, die Kundengrenzen überschreitet, stellt eine Sicherheitsverletzung dar. Daher hat Barracuda die Mandantenisolierung auf jeder Ebene des Systems integriert.

Genie fragt Basistabellen niemals direkt ab. Stattdessen fragt es sichere Ansichten (Secure Views) in Unity Catalog ab, die Daten nach der Organisation des authentifizierten Benutzers filtern, noch bevor die Query Engine das SQL ausführt. Da der Filter auf der View-Ebene und nicht im Prompt oder Anwendungscode angewendet wird, kann eine fehlerhafte oder böswillige Abfrage ihn nicht umgehen. Service Principals sind auf eine einzige Organisation beschränkt, und ein Query Validator überprüft jede generierte SQL-Anweisung, um sicherzustellen, dass der Organisationsfilter vorhanden ist, und weist alle ab, bei denen dies nicht der Fall ist.

Governance gibt es bei diesem Design ohne Zusatzaufwand. Dieselben Sicherheitsrichtlinien auf Zeilenebene (Row-Level Security), die die zugrunde liegenden Tabellen schützen, gelten auch für Abfragen in natürlicher Sprache. Es muss also kein paralleles Zugriffsmodell gepflegt oder eine separate Autorisierungsebene synchronisiert werden.

Wie es weitergeht

Das Managed XDR-Team von Barracuda baut die KI-gestützte Log-Suche weiter aus. Das Speichern und Planen von Suchen steht auf der kurzfristigen Roadmap, ebenso wie die Integration mit dem KI-Assistenten von Barracuda zur Zusammenfassung, zusätzliche Datenquellen sowie die Erstellung von Diagrammen und Visualisierungen direkt aus den Abfrageergebnissen.

Für die vollständige technische Aufschlüsselung, einschließlich der Compound-KI-Architektur, der Implementierung der Sicherheit auf Zeilenebene, der Pipeline zur Abfragevalidierung und des Multi-Region-Bereitstellungsmodells, lesen Sie den Engineering-Beitrag von Barracuda.

Um mehr über Genie und darüber, wie Teams es nutzen, um Daten und Agenten für jeden Mitarbeiter verfügbar zu machen, besuchen Sie die Genie-Produktseite.

(Dieser Blogbeitrag wurde mit KI-gestützten Tools übersetzt.) Originalbeitrag

Erhalten Sie die neuesten Beiträge in Ihrem Posteingang

Abonnieren Sie unseren Blog und erhalten Sie die neuesten Beiträge direkt in Ihren Posteingang.