Die Rolle der generativen KI in Concert

IBM® Concert kombiniert herkömmliche Analysen und generative KI, angetrieben von IBM watsonx.ai, um umfassende Einblicke in Ihre Anwendungen und Umgebungen zu liefern.

Concert beinhaltet das "ask-wx" Service Framework, um die Verbindung mit watsonx.ai zu ermöglichen. Auf der Grundlage spezifischer Benutzerinteraktionen wird der Rahmen verwendet, um angereicherte kontextbezogene Daten bereitzustellen, die eine prompte technische Interaktion mit dem Concert Chat ermöglichen. Zum Beispiel verwendet watsonx.ai kontextbezogene Daten, um den vom Benutzer erbrachten Nachweis zu validieren, dass eine Umgebung mit einer bewerteten Kontrolle konform ist.

Die Nutzlast der Anwendungstopologie wird als Teil des Aufrufs der watsonx.ai API-Eingabeaufforderung freigegeben, um die Antworten des Modells während dieser Sitzung zu konzentrieren. Wenn Sie zum Beispiel watsonx.ai verwenden, um die Auswirkungen eines CVE zu verstehen, werden Details über Ihre Anwendungen und Umgebungen, die mit dieser Schwachstelle verbunden sind, verwendet, um die Antworten zu informieren.

Hinweis: Zur Anreicherung oder Verfeinerung des globalen watsonx.aiModells werden keine Kundendaten verwendet. Der gesammelte Kontext ist flüchtig und auf eine einzige Sitzung beschränkt.

Mit KI arbeiten, um Schwachstellen zu entschärfen

Eine Schwachstellen-Scan-Datei enthält die Ergebnisse eines Schwachstellen-Scan-Prozesses, einschließlich Details über das gescannte System, die entdeckten Schwachstellen, die Ausnutzbarkeit und den Schweregrad der Auswirkungen sowie Empfehlungen für Abhilfemaßnahmen. Die in diesen Dateien enthaltene Textmenge macht sie zu einem guten Kandidaten für die Zusammenfassung durch KI-Modelle und für die Erstellung von programmiersprachen- und laufzeitspezifischen Anleitungen zur Fehlerbehebung.

Während Concert die Schwachstellendaten aus einer Scan-Ausgabe aufnimmt, wendet es eine Reihe von Präprozessoren und Algorithmen an, um die Schwachstellenbefunde über Anwendungskomponenten hinweg zu korrelieren, die Grundursache zu ermitteln und den Explosionsradius zu bestimmen, z. B. exponierte API-Endpunkte. Concert fragt IBM X-Force Red Daten ab, um die Ausnutzbarkeit einer Schwachstelle zu verstehen und den Schweregrad und die Priorisierung des CVE zu verfeinern.

Screenshot einer watsonx.ai-Chat-Interaktion, in der der Benutzer um eine Zusammenfassung bat, wie ein CVE in seiner Anwendungsumgebung zu beheben ist.
Sie können die watsonx.ai Chat-Schnittstelle in der Concert Benutzeroberfläche verwenden, um eine Zusammenfassung zu erstellen oder mehr über einen CVE-Fall zu erfahren, indem Sie erweiterte Eingabeaufforderungen verwenden, die den im Schwachstellen-Scan bereitgestellten Kontext sowie die einzigartige Landschaft Ihrer Anwendungen und Umgebungen berücksichtigen. In diesem Fall dient watsonx.ai als eingebauter Fachmann, der einer Vielzahl von Benutzern in Ihrem Unternehmen helfen kann. Beispiel:
  • Ein Site Reliability Engineer (SRE) oder Security Operations Engineer kann den Chat nutzen, um Schwachstellen und Optionen zur Behebung in Form von Patches oder Upgrades zu verstehen.
  • Ein Entwickler kann die kontextsensitiven Interaktionen nutzen, um Hinweise zu erhalten, wie das Schwachstellenrisiko im Quellcode gemindert werden kann.

Zusammenarbeit mit AI zur Beschleunigung der Einhaltung von Vorschriften

Die Kontrollen zur Einhaltung der Vorschriften sind notorisch vage und lassen Raum für Interpretationen. Dies macht es für Software-Ingenieure schwierig, die Anforderungen zu verstehen, insbesondere für diejenigen, die nicht mit den spezifischen Vorschriften oder Normen vertraut sind, die sie erfüllen müssen. Concert ermöglicht es Ihnen, watsonx.ai als Experte für die Einhaltung von Vorschriften zu fungieren, indem Sie die Anforderungen zusammenfassen und die Nachweise anhand der bewerteten Kontrollen validieren. So kann beispielsweise ein IT Operations Engineer oder SRE den Chat nutzen, um Klarstellungen zu einer bestimmten Compliance-Kontrolle und zu den Methoden zur Erfüllung der Anforderungen zu erfragen.

Die Bewertung der Einhaltung der Vorschriften umfasst zahlreiche Verfahrenselemente, und die meisten verlangen einen dokumentierten Nachweis der Einhaltung der Vorschriften für jede Kontrolle. Die Überprüfung der Nachweise ist zeitaufwändig und erfordert in der Regel einen erfahrenen Fachmann, um sie zu validieren. Concert setzt generative KI ein, um textbasierte und PDF-Nachweise anhand der Compliance-Kontrollen zu validieren, um festzustellen und aufzuzeichnen, ob ein ausreichender Nachweis der Compliance vorliegt. Diese Funktion wird automatisch ausgelöst, um eine kurze, für den Menschen lesbare Zusammenfassung und den Validierungsstatus zu erstellen. Diese Anwendung von watsonx.ai in Concert verringert den zeitraubenden Aufwand für die Aufzeichnung von Nachweisen und verbessert die Effizienz und Wirksamkeit nachfolgender Prüfungsverfahren und Konformitätsprüfungen.