Analizar la telemetría de la investigación con lenguaje natural

Cytomic Orion implementa un asistente de inteligencia artificial (Asistente GenAI) que interpreta preguntas realizadas en lenguaje natural para obtener información sobre la telemetría que forma parte de una investigación. El asistente GenAI utiliza un modelo de lenguaje extenso (LLM). Este modelo traduce tus preguntas en sentencias SQL y las ejecuta para mostrar los resultados en una tabla.

El límite es de 100 preguntas mensuales por cuenta. La consola muestra el número de preguntas realizadas. Al aproximarse el límite total de preguntas, se mostrará un aviso. El contador se reinicia a 0 el día 1 de cada mes.

Para usar el asistente GenAI, asigna el rol Pregunta al Asistente GenAI a tu cuenta de usuario. Consulta Descripción de los permisos implementados.

Asistente GenAI maneja un contexto que utiliza para resolver ambigüedades en las preguntas. Este contexto está formado por:

  • Las entidades de interés involucradas en la investigación: el asistente GenAI también resuelve preguntas sobre entidades ajenas al incidente, o a periodos de tiempo distintos.

  • Las diez últimas preguntas realizadas: por cada pregunta que envías, el asistente GenAI añade las 10 últimas preguntas, incluyendo la propia pregunta, la sentencia SQL generada a partir de la pregunta, la explicación de la sentencia SQL generada y los resultados.

La información de contexto compartida no se utiliza para entrenar el modelo LLM ni se almacena en su infraestructura.

El asistente GenAI implementa guardarrailes que impiden generar respuestas fuera del objetivo para el que ha sido diseñado:

  • El limite de la pregunta está establecido en 500 caracteres.

  • El asistente GenAI filtra el uso de palabras para protegerse de ataques de tipo inyección SQL y similares.

  • Por defecto, el intervalo de los datos de respuesta comprende 7 días antes y 7 días después de la fecha de creación de la investigación. Si tu pregunta incluye un rango de fechas diferente, el asistente GenAI indicará en la respuesta que los datos encontrados están limitados al intervalo de los 15 días mencionados.

  • Los resultados están limitados a los 100 primeros resultados de la sentencia SQL ejecutada.

  • Los resultados muestran un máximo de 10 columnas.

  • La sentencia SQL generada está limitada a 1000 caracteres.

  • Si como parte de la respuesta, el asistente GenAI muestra una linea de comandos, solo mostrará los 100 primeros caracteres.

  • La explicación de la sentencia SQL generada está limitada a 2048 caracteres.

El asistente de GenAI indica en la respuesta si ha aplicado alguno de los controles indicados.

Analizar una investigación con el asistente GenAI

Acceso al asistente GenAI

  • En el menú superior, selecciona Investigaciones. Se abrirá un listado con las investigaciones.

  • Haz clic en la investigación de tu interés. Se abrirá una ventana con la información de la investigación y sus incidentes y señales.

  • Haz clic en el icono de la barra de pestañas. Se abrirá un menú de contexto.

  • Selecciona Pregunta al Asistente GenAI. Se mostrará la ventana Conectando con el asistente GenAI.

  • Ventana del asistente GenAI

  • En el cuadro de texto Pregunta al Asistente GenAI (1), escribe la pregunta en lenguaje natural y presiona Enter. El asistente LLM procesará la pregunta durante unos segundos y mostrará los resultados:

    • Consulta generada (1): sentencia SQL equivalente a la pregunta que has introducido.

    • Descripción de la consulta (2): descripción del resultado mostrado.

    • Resultados de la consultas (3): tabla con el contenido de los datos encontrados.

    • Valoración de la consulta (4): haz clic en o para valorar la respuesta, que se utilizará para afinar el funcionamiento del modelo.

    • Respuesta del asistente GenAI

Ejemplos de uso del asistente GenAI

Para evitar los límites de las respuestas del asistente GenAI, copia la sentencia SQL generada, elimina la clausula "LIMIT 100" y utilízala en el modulo Consulta avanzada SQL. Consulta Módulo de consultas avanzadas SQL.

Obtener los usuarios que han ejecutado una linea de comandos en el contexto de la investigación

  • Pregunta: Que usuarios han ejecutado la linea de comandos 'example.exe x -y -ppanda testfiles.rar'?

  • Respuesta: SELECT DISTINCT LoggedUser FROM Telemetry WHERE CommandLine='example.exe x -y -ppanda testfiles.rar' LIMIT 100

Mostrar los equipos donde se ha creado un fichero en el contexto de la investigación

  • Pregunta: Muéstrame en qué equipos se ha creado el fichero 'joke.exe'

  • Respuesta: SELECT DISTINCT Muid FROM Telemetry WHERE ChildFilename='joke.exe' AND EventType=1 AND Operation=1 LIMIT 100

Mostrar cuantos equipos están intentado acceder a otro en el contexto de la investigación

  • Pregunta: Desde cuántos equipos se está intentando acceder al equipo con el identificador 'AGH45MMZSERAGH45MMZS'

  • Respuesta: SELECT COUNT(DISTINCT RemoteMachineName) FROM Telemetry WHERE Muid='AGH45MMZSERAGH45MMZS' LIMIT 100