Security

CTI-REALM open source: benchmark AI do detekcji

3 min czytania

Podsumowanie

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie

Microsoft ogłosił CTI-REALM, nowy benchmark open source ukierunkowany na rosnące wyzwanie w operacjach bezpieczeństwa: ustalenie, czy agenci AI potrafią wykonywać rzeczywistą pracę z zakresu inżynierii detekcji, a nie tylko odpowiadać na pytania dotyczące cyberbezpieczeństwa. Dla zespołów bezpieczeństwa oceniających AI pod kątem zastosowań w SOC i detekcji ma to znaczenie, ponieważ benchmark koncentruje się na wynikach operacyjnych — budowaniu i walidacji detekcji na podstawie threat intelligence.

Co nowego w CTI-REALM

CTI-REALM (Cyber Threat Intelligence Real World Evaluation and LLM Benchmarking) został stworzony do testowania pełnego workflow, którym analitycy bezpieczeństwa posługują się podczas tworzenia detekcji.

Kluczowe możliwości

  • Ocenia agentów AI pod kątem kompleksowego generowania reguł detekcji zamiast izolowanych testów wiedzy CTI.
  • Wykorzystuje 37 starannie dobranych raportów CTI z publicznych źródeł, w tym Microsoft Security, Datadog Security Labs, Palo Alto Networks i Splunk.
  • Mierzy skuteczność w środowiskach Linux endpoints, Azure Kubernetes Service (AKS) oraz Azure cloud infrastructure.
  • Ocenia nie tylko końcowe wyniki, ale także etapy pośrednie, takie jak:
    • zrozumienie raportu CTI
    • mapowanie technik MITRE ATT&CK
    • identyfikacja źródeł danych
    • dopracowywanie zapytań KQL
    • generowanie reguł Sigma
  • Zapewnia agentom realistyczne narzędzia, w tym repozytoria CTI, eksploratory schematów, silniki zapytań Kusto, odniesienia do MITRE ATT&CK oraz bazy danych Sigma.

Wczesne ustalenia z testów Microsoftu

Microsoft ocenił 16 konfiguracji modeli frontier na CTI-REALM-50, zestawie benchmarkowym obejmującym 50 zadań.

Najważniejsze wyniki obejmują:

  • Modele Anthropic Claude prowadziły w rankingu, głównie dzięki lepszemu wykorzystaniu narzędzi i iteracyjnemu dopracowywaniu zapytań.
  • W rodzinie GPT-5 rozumowanie na poziomie medium przewyższało high reasoning, co sugeruje, że większa ilość rozumowania może obniżać skuteczność w agentowych scenariuszach detekcji.
  • Detekcja w Azure cloud okazała się najtrudniejsza, uzyskując niższe wyniki niż Linux i AKS z powodu złożoności korelowania wielu źródeł telemetrycznych.
  • Usunięcie narzędzi specyficznych dla CTI obniżyło wyniki wszystkich testowanych modeli.
  • Dodanie wskazówek workflow opracowanych przez ludzi znacząco poprawiło wyniki mniejszych modeli.

Dlaczego ma to znaczenie dla administratorów IT i bezpieczeństwa

Dla liderów SOC, detection engineers i security architects CTI-REALM oferuje bardziej praktyczny sposób oceny AI przed wykorzystaniem jej w workflow produkcyjnych. Zamiast polegać na ogólnych wynikach benchmarków, zespoły mogą zidentyfikować obszary, w których model ma trudności — takie jak rozumienie zagrożeń, mapowanie telemetrii czy specyficzność reguł.

Może to pomóc organizacjom w:

  • Walidacji przydatności modeli AI do zadań z zakresu inżynierii detekcji
  • Identyfikacji obszarów, w których nadal wymagany jest przegląd przez człowieka i guardrails
  • Obiektywnym porównywaniu modeli przed wdrożeniem operacyjnym
  • Zwiększeniu zaufania do rozwoju detekcji wspieranego przez AI

Kolejne kroki

Zespoły bezpieczeństwa zainteresowane inżynierią detekcji wspieraną przez AI powinny:

  • Zapoznać się z artykułem badawczym CTI-REALM i metodologią benchmarku
  • Testować kandydackie modele względem benchmarku przed wdrożeniem produkcyjnym
  • Wykorzystać wyniki do zdefiniowania procesów przeglądu i guardrails
  • Monitorować repozytorium Inspect AI pod kątem dostępności CTI-REALM i wkładu społeczności

Microsoft pozycjonuje CTI-REALM jako zasób społecznościowy, który ma pomóc branży w spójnym benchmarkowaniu modeli i bezpieczniejszym wdrażaniu AI w operacjach bezpieczeństwa.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Arjun Chakraborty
SecurityAI agentsthreat intelligencedetection engineeringKQL

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.

Security

Phishing podatkowy: Microsoft ostrzega przed atakami

Microsoft ostrzega przed wzrostem zaawansowanych kampanii phishingowych i malware wykorzystujących sezon podatkowy, w tym fałszywych wiadomości o dokumentach podatkowych, zwrotach i komunikacji od księgowych. To ważne, ponieważ ataki są coraz bardziej ukierunkowane i wykorzystują kody QR, wieloetapowe przekierowania, chmurowe pliki oraz legalne narzędzia administracyjne, co utrudnia ich wykrycie i zwiększa ryzyko kradzieży poświadczeń oraz infekcji firmowych systemów.