Microsoft Research beweist: KI generiert realistische Befehlszeilen und Prozess-Telemetriedaten

Technik und Auswirkungen

Im Kern der Arbeit steht der Einsatz generativer Modelle zur Erstellung, die sich an das Verhalten realer Tools und Betriebssysteme anpassen, anstatt lediglich auf den ersten Blick verdächtige, zufällige Zeichenketten zu produzieren.

Das System berücksichtigt dabei Aspekte wie die Reihenfolge der Argumente, gängige administrative Muster sowie die natürliche Abfolge während lateraler Bewegungen oder bei Diebstahl Modellausgaben in ausführbare Sequenzen umgewandelt, die

oder Testumgebungen nachgespielt werden können. Die dreistufige KI-Agenten-Pipeline umfasst das Generieren, die iterative Erstellung mittels LLM-as-a-Judge (Quelle: Microsoft). Die Forschung untersucht zudem den Aufbau äumen, sodass jeder synthetische Befehl in einer realistischen Weise mit seinem Eltern- und Kindprozess verknüpft ist.

Dies ist ßer Bedeutung, da viele

Dies ist ßer Bedeutung, da viele fortschrittliche Erkennungssysteme auf ungewöhnliche Prozessbeziehungen statt auf einzelne, isoliert betrachtete Protokolleinträge angewiesen sind.

Durch die Nachbildung dieser Beziehungen wird KI-generierte Telemetrie zu einem deutlich besseren Ersatz für das tatsächliche Verhalten, dass das Team Leitlinien definiert, um Missbrauch der Technologie zu verhindern.

Die Modelle werden in kontrollierten Umgebungen trainiert und eingesetzt, wobei der Zugriff auf Sicherheitsingenieur-Szenarien beschränkt ist und nicht auf öffentliche Schnittstellen.

Sicherheitslage und Risiko

Das Ziel besteht darin, Verteidigern dabei zu helfen, sich gegen glaubwürdige Angriffsmuster zu üben, nicht ihnen fertige Playbooks für Bedrohungsakteure zur Verfügung zu stellen. Was dies für Verteidiger bedeutet Eines der Hauptversprechen dieses Ansatzes sind schnellere und zuverlässigere Zyklen der Detektionsentwicklung.

Statt eine Regel zu schreiben, wochenlang zu warten, ob sie jemals auslöst, und dann zu raten, warum sie stumm blieb, können Ingenieure ihre SIEM-, Endpunkt-Plattform oder ihren Data Lake sofort mit synthetischen Angriffen überfluten, die realistischen Kill Chains.

Dies verkürzt Feedback-Schleifen und hilft Teams zu verstehen, welche Analysen tatsächlich Abdeckung bieten und welche lediglich in der Dokumentation gut aussehen.

Technik und Auswirkungen

Microsoft-Forscher empfehlen Organisationen, zunächst synthetische Protokolle in isolierten Umgebungen zu integrieren, in denen Detektionsinhalte schnell iteriert werden können, ohne das Produktionssystem durch Rauschen zu gefährden.

Im Laufe der Zeit können Teams kontrollierte „Attacken-Übungen" planen, bei denen zum normalen Datenverkehr ausgeführt werden und alle als Testaktivität gekennzeichnet sind, um eine sichere Analyse zu ermöglichen. Zyklischer Agenten-Workflow (Quelle: Microsoft).

Zudem betonen sie die Bedeutung der Kombination dieser Tests mit klaren Erfolgsmetriken wie der Zeit bis zur Erkennung, der Treue der Alarme und der Anzahl der manuellen Schritte, die Analysten zur Bestätigung eines Befunds durchführen müssen.

Sicherheitslage und Risiko

Eine weitere zentrale Empfehlung lautet, Trainingsdaten und Szenarien kontinuierlich zu aktualisieren, sodass sich synthetische Telemetrie mit neuen Angriffstechniken weiterentwickelt. Wenn Angreifer neue Techniken anwenden oder neue Dienste angreifen, sollten Verteidiger diese Muster in die Daten integrieren, die die Generierung leiten.

Dies trägt dazu bei, sicherzustellen, dass Modelle nicht darin stecken bleiben, veraltete Angriffsstile wiederzuspielen, die nicht mehr den aktuellen Bedrohungen entsprechen. Die Forschung zeigt, dass realistische synthetische Daten auch Organisationen zugutekommen können, die über keine großen Mengen historischer Vorfälle verfügen.

Kleinere Teams oder solche, die sich erst am Anfang ihrer Sicherheitsreise befinden, können dennoch Erkennungen für eine breite Palette, ohne auf tatsächliche Verletzungen warten zu müssen.

Technik und Auswirkungen

In Kombination mit bestehender Bedrohungsintelligenz und Red Teaming werden Prozess-Telemetriedaten ein weiteres Instrument, das das Spielfeld für Verteidiger ausgleicht. Wie bei jeder leistungsstarken neuen Technik gehen die Vorteile mit Verantwortung einher.

Die Autoren betonen eine strenge Governance darüber, wer synthetische Angriffe generieren und ausführen darf, wo diese ausgeführt werden dürfen und wie die daraus resultierenden Daten gekennzeichnet und gespeichert werden.

Sorgfältig gehandhabt bietet KI-Unterstützung im Bereich der Erkennungsentwicklung einen Weg, die Komplexität moderner Protokolle in einen Vorteil statt in eine Belastung zu verwandeln. Sie uns auf