Trellix 降低成本、提高速度，並透過具成本效益和高效能的 Amazon Nova Micro 和 Amazon Nova Lite 型號增加交付靈活性

這篇文章是與來自 Trellix 的馬丁·霍斯特 (Martin Holste) 共同撰寫的。

安全團隊正在面對不斷演變的網路安全威脅。這些威脅在形式、複雜性和攻擊範圍上都在擴大。由於人才和預算的限制，團隊常常被迫優先處理某些事件進行調查，這限制了他們檢測和識別新威脅的能力。Trellix Wise 是一種由人工智慧驅動的技術，使安全團隊能夠自動化威脅調查並為事件添加風險評分。使用 Trellix Wise，安全團隊現在可以在幾秒鐘內完成以前需要多位分析師幾小時才能完成的調查，這使他們能夠擴大能夠處理的安全事件範圍。

Trellix 是一家領先的公司，為全球超過 53,000 名客戶提供最廣泛的人工智慧驅動的網路安全平台，於 2022 年由 McAfee Enterprise 和 FireEye 合併而成。該公司的綜合性、開放性和原生的人工智慧安全平台幫助組織建立對抗先進威脅的運營韌性。Trellix Wise 作為 Trellix 安全平台的一部分提供給客戶。這篇文章討論了 Trellix 對亞馬遜 (Amazon) Nova 基礎模型 (FMs) 的採用和評估。

隨著採用和使用的增長，Trellix 團隊一直在探索優化 Trellix Wise 調查成本結構的方法。較小且具成本效益的基礎模型看起來很有前景，而亞馬遜 Nova Micro 由於其質量和成本而脫穎而出。在早期評估中，Trellix 團隊觀察到亞馬遜 Nova Micro 的推理速度是其他模型的三倍，且成本幾乎低了 100 倍。

以下數據是 Trellix 團隊比較亞馬遜 Nova Micro 與其他模型在亞馬遜 Bedrock 上的測試結果。

Trellix 團隊確定了亞馬遜 Nova Micro 可以補充他們使用 Anthropic 的 Claude Sonnet，提供更低的成本和更高的整體速度。此外，Trellix 的專業服務團隊發現亞馬遜 Nova Lite 是一個強大的代碼生成和理解模型，並且現在正在使用亞馬遜 Nova Lite 來加快他們的定制解決方案交付流程。

Trellix Wise：由生成式人工智慧驅動的威脅調查，協助安全分析師

Trellix Wise 建立在亞馬遜 Bedrock 上，並使用 Anthropic 的 Claude Sonnet 作為其主要模型。該平台利用亞馬遜 OpenSearch 服務存儲從監控環境中收集的數十億個安全事件。OpenSearch 服務內建向量數據庫功能，使得在檢索增強生成 (RAG) 架構中使用存儲在 OpenSearch 服務中的數據作為上下文數據變得簡單。使用 OpenSearch 服務和亞馬遜 Bedrock，Trellix Wise 對每個事件執行自動化的專有威脅調查步驟。這包括檢索分析所需的數據，使用其他自定義機器學習 (ML) 模型的見解分析數據，以及風險評分。這種複雜的方法使服務能夠解釋複雜的安全數據模式，並對每個事件做出智能決策。Trellix Wise 的調查為每個事件提供風險評分，並允許分析師深入分析結果，以確定是否需要人工後續處理。

以下截圖顯示了 Trellix Wise 儀表板上一個事件的示例。

隨著採用規模的增長，Trellix 一直在評估改善成本和速度的方法。Trellix 團隊已確定，調查中的所有階段並不需要 Claude Sonnet 的準確性，有些階段可以從更快、更低成本的模型中受益，這些模型在目標任務上仍然具有高準確性。這就是亞馬遜 Nova Micro 幫助改善調查成本結構的地方。

使用亞馬遜 Nova Micro、RAG 和重複推理來改善調查成本

威脅調查工作流程由多個步驟組成，從數據收集、分析到為事件分配風險評分。收集階段檢索與事件相關的信息以進行分析。這是通過對亞馬遜 Bedrock 中的模型進行一個或多個推理調用來實現的。在這一階段的優先事項是最大化檢索數據的完整性並最小化不準確性（幻覺）。Trellix 團隊將這一階段確定為在工作流程中優化速度和成本的最佳階段。

Trellix 團隊根據測試得出結論，亞馬遜 Nova Micro 提供了兩個關鍵優勢。它的速度使其能夠在與單個 Claude Sonnet 推理相同的時間內處理 3-5 次推理，且每次推理的成本幾乎低了 100 倍。Trellix 團隊確定，通過運行多次推理，可以最大化所需數據的覆蓋範圍，並且仍然將成本降低 30 倍。儘管模型的響應變異性高於較大的模型，但進行多次運行可以獲得更全面的響應集。通過專有的提示工程和參考數據強制執行的響應限制約束了響應空間，限制了幻覺和不準確性的發生。

在實施這一方法之前，Trellix 團隊進行了詳細測試，以檢查響應的完整性、成本和速度。團隊在其生成式人工智慧旅程的早期意識到，標準化的基準在評估特定用例的模型時並不充分。設置了一個模擬信息收集工作流程的測試工具，並對多個模型進行了詳細評估，以驗證這一方法的好處，然後再進行推進。Trellix 觀察到的速度和成本優勢幫助驗證了這一方法的好處，然後將新方法投入生產。該方法現在在有限的試點環境中部署。詳細評估正在作為分階段推出到生產的一部分進行。

結論

在這篇文章中，我們分享了 Trellix 如何採用和評估亞馬遜 Nova 模型，從而實現顯著的推理加速和成本降低。回顧這個項目，Trellix 團隊認識到以下幾點是實現這些結果的關鍵因素：

獲得廣泛的模型，包括像亞馬遜 Nova Micro 和亞馬遜 Nova Lite 這樣的小型高效模型，加速了團隊輕鬆實驗和採用新模型的能力。
能夠限制響應以避免幻覺，使用預建的特定用例支架，結合專有數據、流程和政策，降低了幻覺和不準確性的風險。
數據服務使數據能夠有效整合到基礎模型中，簡化了實施並縮短了新組件的生產時間。

馬丁·霍斯特 (Martin Holste)，Trellix 的工程高級總監表示：「亞馬遜 Bedrock 使得評估新模型和方法變得容易。使用亞馬遜 Nova Micro 和 Anthropic 的 Claude Sonnet 使我們能夠快速以最佳運營成本為客戶提供最佳覆蓋。」他補充道：「我們對亞馬遜 Bedrock 允許我們繼續評估和改進 Trellix Wise 和 Trellix 安全平台的靈活性感到非常滿意。」

在亞馬遜 Bedrock 控制台上開始使用亞馬遜 Nova。詳細了解亞馬遜 Nova 產品頁面。