RAG con Grafos y MITRE ATT&CK

El RAG plano recupera párrafos. Una operación ofensiva no piensa en párrafos: piensa en relaciones — esta técnica habilita esta otra, este actor usa este malware, este mitigante rompe esta cadena. Por eso conectamos Beorn a un grafo de conocimiento construido sobre MITRE ATT&CK.

De fragmentos a un grafo de TTPs

Modelamos tácticas, técnicas, sub-técnicas, grupos y mitigaciones como nodos; las relaciones de ATT&CK como aristas. Cada writeup que indexamos se enlaza a las técnicas que demuestra. La recuperación deja de ser "documentos similares" y pasa a ser "qué puedo hacer desde aquí".

Recuperación que sigue la kill chain

Cuando el agente logra ejecución, no pedimos "texto sobre persistencia". Recorremos el grafo desde la técnica actual hacia las tácticas siguientes, ponderando por lo observado en el objetivo.

graph.walk({ from: "T1190",
  toward: ["persistence","privilege-escalation"],
  filter: { platform: "linux", observed: true }, k: 5 })

Por qué el grafo gana

El grafo aporta precisión (aristas curadas, no similitud coseno), explicabilidad (cada sugerencia trae su camino) y cobertura (técnicas adyacentes que ningún embedding acercaría). El vector sigue para búsqueda difusa; el grafo decide el siguiente paso.

Lo que enviamos

Beorn responde con subgrafos de ATT&CK, no solo pasajes. El agente recibe el mapa de su kill chain anclado a evidencia, y cada informe sale alineado con ATT&CK para tu SIEM.