万字报告解读｜通往AI增强型SOC之路

网络安全团队中的安全运营中心（Security Operations Centers，SOC）正处于十字路口。他们面临着确切的挑战，包括告警数量不断增加、人才短缺和传统工具的局限性。同时，他们还必须应对大型语言模型（LLMs）的功能以及有效利用这些模型的实施挑战。

本报告探讨了人工智能/大模型如何转变和重塑SOC工作流程。报告探讨了自动化告警管理、丰富威胁数据以及优化事件响应时间和调查等领域。通过我与CISO和安全领导者的讨论所得出的见解以及新兴技术的案例研究，本报告为采用人工智能增强型SOC战略提供了一个路线图，该战略可提高生产率、降低成本并解决信任和透明度问题。

本报告以我之前与Josh Trup合作撰写的Security Automation报告为基础。报告重点介绍了LLMs是如何特别增强SOC操作的。希望对您有所帮助。

合作

本报告是与Filip Stojkovski合作完成的，他是SOC&安全工程的领导者，曾在Snyk、Adobe、Crowdstrike和德意志银行等领先公司任职。他拥有十多年的SOC经验。他撰写了名为网络安全自动化和编排的博客。

SOC市场生态

要点总结

“AI for SOC "一词在定义这一类别时存在缺陷。对这一领域更好的分类是人工智能辅助SOC分析师或增强型人工智能分析师。我们接触过的几乎所有安全领导者都无法想象一个完全由"AI驱动"的SOC。
SOC面临的挑战是确切的，几乎影响到每一个SOC。即使是拥有强大MTTD（平均检测时间）和MTTR（平均响应时间）的最佳SOC，在监控和获取所有告警的可见性方面仍然面临挑战。这些挑战可分为以下几类：

告警疲劳：由于检测规则无效，每天发出大量告警。其中一些会导致士气低落，并因重复流程而产生倦怠感，从而造成人员流失；
成本高昂：许多公司在管理SOC基础设施和监控工具方面仍然面临着高昂的成本，无法跟上新出现的威胁；
改进MTTD（平均检测时间）和MTTR（平均响应时间）：现实情况是，威胁未被发现的时间越长，造成的破坏就越大。因此，SOC领导者面临着巨大的压力，必须缩短MTTD/MTTR，以最大限度地减少威胁的影响；
漏检：团队难以管理较新解决方案的检测。在某些情况下，告警可能会被忽略，这可能会让领导者彻夜难眠；
过时自动化解决方案的局限性：由于需要大量的前期投资和持续维护，第一代安全自动化方案令许多领导者失望；

这一市场面临着AI-SOC技术供需双方的激烈竞争。需求方指的是买家/用户，供应方指的是厂商。

需求方面的挑战来自于CISO和SecOps领导者，他们对人工智能解决方案的有效性存在"信任问题"，因此对人工智能解决方案持谨慎态度。领导者没有足够的信心将人工智能置于SOC的前线。类似"取代分析师"这样的信息和术语让一些分析师对这些新兴解决方案产生了抵触情绪。CISO希望安全解决方案在如何产生资源和结果方面有更大的透明度。许多公司仍然满足于现状，即分析师梳理告警，偶尔使用SOAR playbook完成重复性任务；
供应方的挑战来自于厂商必须让领导者相信，他们的解决方案比现有流程更有效、更透明、更准确；
评估成功与否的标准是，公司是否认为人工智能分析师在改善MTTD/MTTR和提高生产率方面的能力与人类分析师差不多。其他关键因素包括管理成本和提高时间效率。

在不久的将来，我们相信市场已经为下一代AI驱动的SOAR解决方案做好了准备。这些解决方案建立在针对不同事件的现有流程手册的基础之上，然后集成LLMs以提高利用它们的便利性。这种组合提供了两全其美的解决方案，帮助SOC团队应对现有的市场挑战。

剖析SOC

在深入探讨自动化和安全团队面临的挑战之前，首先要明确SOC的定义。SOC是组织内的集权单位，专门负责监控、检测、分析和应对网络安全事件。这些部门在保护组织的数字资产、基础设施和敏感数据免受各种网络威胁方面发挥着关键作用。从本质上讲，SOC对于保护组织资产至关重要。

大多数SOC的运作方式

SOC通常通过收集和分析MELT数据来提供监控和检测服务，MELT是一个缩写，指检测、调查和响应安全事件所需的基本遥测类型。在SOC运营的早期，公司使用代理来收集MELT数据点，即

Metrics衡量标准
Events活动
Logs日志
Traces痕迹

MELT数据是SOC的支柱。通过收集和分析MELT数据，SOC团队可以全面了解其环境，从而发现异常情况、违反策略的情况和失陷指标(IOC)。代理（或传感器或API）安装在端点或服务器上进行数据收集。收集到这些数据后，第二级或第三级安全分析师将重点分析告警、编写检测规则，并在SIEM中执行威胁搜索。这样做的目的是从原始告警、日志和遥测数据中突出显示实际威胁，同时存储这些信息以备将来调查和查询。

一级、二级和三级分析师之间的区别：

Tier 1一级分析师：主要负责使用SIEM对安全告警和事件进行初步分流。他们识别潜在威胁并进行分类。他们将更高风险的案例上报给高级分析师；
Tier 2二级分析师：专注于调查、控制和响应升级事件。他们对检测规则进行微调，以改进流程；
Tier 3三级分析师：主动识别高级威胁并增强SOC流程。他们利用威胁情报进行威胁狩猎和恶意软件分析。

未来的SOC架构

这篇文章的重点不是SOC，但我们相信，对这一层的基本了解对于推动其他部分的发展至关重要。以下是该架构的细分：

数据结构层

在SOC团队中，必须对来自不同来源的原始安全数据进行标准化处理，以便在发送到SIEM（或自动化解决方案）之前进行有效分析。这一类有两种不同类型的厂商。1) 专注于构建和管理工程数据管道的厂商。2) 优先考虑数据过滤和丰富以提高检测质量的厂商。

关键任务是将数据格式化为一致的结构，以实现无缝集成，并添加上下文信息，如IP地理定位或威胁情报信息，从而提高数据质量。我们将揭示这一层如何与自动化工作产生越来越多的交集。

存储和检测层

公司利用威胁检测规则来定义识别数据中恶意活动的逻辑。一旦处理完毕，数据就会被传送到集中存储库进行存储和分析。这可能涉及到提供实时监控和告警的SIEM或旨在降低成本的云数据湖。

AI响应与自动化

当检测规则被触发或告警生成时，SOC分析师会彻底调查这些告警，评估其严重程度，并实施适当的补救措施。现代SOC自动化解决方案正在不断发展，采用更加积极主动的方法，直接与安全工具集成，而不是仅仅依赖SIEM告警。这一进步可以增强告警的丰富性和上下文分析，从而提高修复流程的效率。分析师现在可以更快地区分真实威胁和误报，并进行全面评估和采取遏制策略。在事件响应方面，团队现在可以更有效地管理安全事件，利用分流阶段发现的指标进行更深入的调查，而传统的SOAR解决方案在这一领域尤其有效。虽然人工智能技术有望在这一层彻底改变SOC的运营，但SOC领导者对SIEM相关成本和实施挑战的持续担忧仍使其采用变得复杂。

安全运营的完整市场生态体系（2024年）

总之，SOC是监控、检测、分析和应对网络安全事件的集中枢纽。其核心流程包括：数据收集，从端点、网络和系统收集遥测数据（MELT：指标、事件、日志、跟踪）；告警分流，对威胁进行优先排序和分类；调查，进行根本原因分析和威胁狩猎；响应，缓解和修复事件；持续改进，根据新威胁更新检测规则和工作流程。通过一级（分流）、二级（响应）和三级（主动狩猎）熟练的分析师利用SIEM和自动化工具，SOC可保护组织的资产免受不断变化的网络威胁。

外包和托管安全运营

预算充足、规模庞大的组织可能会选择建立完全内部化的 SOC，购买所有必要的技术。在本报告中，我们将概述创建现代 SOC 所涉及的流程和技术。但需要注意的是，并非每个组织都会实施所有这些技术。

中小型公司通常会求助于全天候SOC托管服务。这些服务包括托管检测和响应(MDR)提供商或托管安全服务提供商(MSSP)，它们使用自己的SIEM、EDR或其他解决方案全天候监控客户环境。这些服务可识别告警、评估潜在威胁，并将需要关注的事件通知客户。

通过利用托管服务，企业可以减少对内部专业知识的需求，同时管理与这些技术相关的成本。此外，外包威胁情报、取证调查和事件响应（IR）等任务有助于内部SOC管理汇报并更有效地整合多个威胁情报源。

网络安全自动化的演变

自动化的核心目的只有一个：让机器执行重复、耗时和单调的任务。这样，稀缺的人类分析师就可以专注于更重要的问题，如威胁狩猎和主动调查。网络安全和其他行业普遍担心的一个问题是，自动化可能会取代人工。虽然这种担心有一定的道理，但自动化主要是增强了人类在安全操作方面的能力，有助于弥补网络安全领域的人才缺口。

根据预算、技术人才和团队规模的不同，不同的组织和SOC团队采用了不同的自动化方法。主要方法包括

定制自动化脚本：许多组织最初依赖定制的内部脚本来管理安全任务。这些定制脚本虽然适合特定的组织需求，但通常需要大量的软件工程专业知识来开发和维护。
通用自动化：接下来出现了RPA and automation solutions，如 Zapier、n8n和UIPath，它们主要侧重于在各种应用程序和系统中实现工作流自动化，而无需大量的编码知识。虽然这些工具提高了操作效率，但它们往往不是专为基本IT工作流之外的安全操作而设计的。

网络安全运营自动化的历史

传统SOAR平台

安全运营自动化与响应（Security Operations Automation & Response，SOAR）是为实现安全操作任务自动化而构建的第一代产品。SOAR平台具有特定的安全功能，包括威胁情报/SIEM平台集成、事件响应手册和专为安全事件定制的自动化工作流。这些解决方案旨在通过自动响应和提供管理、规划和协调事件响应活动的工具，解决SIEM的输出问题。

这些系统的建立是为了根据其安全相关性理解告警并确定优先级，使SOC团队能够快速识别和应对关键威胁。到2018年，先进的SOAR平台开始集成人工智能（AI）和机器学习（ML），以加强威胁检测和响应，使这些系统不仅能被动应对，还能通过预测和缓解潜在的安全威胁来主动出击。

样本厂商包括2018年被Splunk收购的Phantom Cyber，该公司是SOAR领域最早、最著名的公司之一。Phantom的平台允许安全团队自动执行任务、协调工作流程并集成各种安全工具。随后，谷歌SecOps围绕收购Siemplify而建立，后者提供的安全操作平台通常被归类为SOAR解决方案。

传统SOAR平台面临的主要挑战

尽管传统的SOAR解决方案很有前途，但往往达不到预期目标，给安全团队带来了巨大挑战：

实施复杂：冗长的部署周期和大量的配置要求延迟了实现价值的时间
资源密集型管理：由于需要专业知识和持续维护，总体拥有成本（TCO）较高
集成限制：与现有安全工具的连接受限，难以适应新技术
告警管理问题：告警处理不一致，由于僵化的播放列表结构而错过关键告警
适应性有限：框架不灵活，难以适应不断变化的安全需求和新出现的威胁

超自动化Hyperautomation

2020年代，SOC面临着一系列挑战，现有的SOAR工具难以应对这些挑战。随着企业集成更多的云原生数据解决方案，并与众多安全工具竞争，网络安全威胁变得日益复杂。与此同时，对经验丰富的网络安全专业人员的需求不断增长，但供应仍然有限。

随着规模和复杂性的增加，这些传统的SOAR工具面临着巨大的挑战，往往迫使企业聘请专家或花费在专业服务上。公司需要在专业服务上投入巨资。这些额外成本往往超过了SOAR工具本身的初始价格。

定义 AI-SOC

AI for SOC是一个有缺陷的缩写，用来定义这个经常被流行语包围的类别。它主要代表一种先进的网络安全框架，将LLMs（ChatGPT之后）纳入传统的SOC流程。

这些下一代解决方案旨在利用机器复制安全分析师的角色。如前所述，传统上，企业通过SOAR工作流程处理告警，或者由人工分析师手动评估和响应告警或安全事件。AI-SOC分析师的目标是立即处理低级告警、自动分流告警并调查事件。

AI for SOC标志着从被动的人工安全流程向主动的智能驱动模式转变。其主要组成部分包括

Triage, 分诊
Investigation, 调查、
Response, and, 回应，以及
Workflow automation 工作流程自动化

这些组件共同创建了一个提高效率的生态系统。这些系统的目的不是取代分析人员，而是使他们有能力专注于更大的安全挑战，同时不断适应不断变化的威胁环境。

目前，大多数人工智能功能都能胜任通常由一级分析师执行的任务。用于SOC的人工智能可分为几个核心类别，主要旨在实现以下自动化：

告警和分流：AI可处理大量告警，突出显示关键告警，并利用可操作的威胁情报丰富失陷指标（IOC）；
调查和威胁狩猎：人工智能深入研究事件、关联数据并发现隐藏的威胁。它可以检查用户过去的行为，了解威胁模式；
响应执行：人工智能可自动进行修复，同时让人工参与监督。在采取行动前，它可能会参考目录信息、电子邮件和工单等业务系统，以了解相关情况；
积极主动的流程工程：人工智能改进工作流程和集成，以满足网络安全的动态需求；
证据分析：人工智能分析PDF、shell脚本、数据包捕获和其他证据，以发现恶意意图；

AI-SOC助理厂商（2022年ChatGPT之后）

根据我们的研究，这就是我们对新出现的厂商或现有解决方案进行分类的框架，这些厂商或现有解决方案围绕新出现的LLM技术和用于理解语言的先进模型重建了自己的解决方案：

AI-XDR和Security Co-pilot平台
负责告警分流和调查的AI-SOC一级分析师
AI-SOC 2/3级分析师，负责高级事件响应和威胁狩猎
AI自动化工程师，负责创建定制的高级安全工作流程

1) AI驱动的XDR和Co-Pilot平台

微软、Palo Alto Networks和Crowdstrike等最大的EDR/XDR厂商现在都提供AI驱动的XDR平台和Co-Pilot解决方案。这些厂商已从单纯关注端点遥测发展到由具有基本响应能力的XDR解决方案驱动的各种第三方数据的摄取。

随着人工智能/大模型的进步，这些厂商已将生成式人工智能纳入其中，大大增强了其解决方案自动分流告警和提供强大的AI驱动摘要和日志数据分析的能力。许多厂商都是从发布Co-Pilot版本开始的，这类厂商中的佼佼者包括

CrowdStrike的Charlotte AI
微软安全的Copilot

SentinelOne的PurpleAI

Palo Alto Networks的Cortex XSIAM
Splunk ES、Google SecOps、Radware等。

这些解决方案的主要功能之一是安全Co-Pilot功能，通过各种智能功能增强SOC的运行。这些Co-Pilot可帮助分析师更高效地浏览数据源，使他们能够更快地找到事实真相，加快调查、研究和发现过程。它们为分析师提供事件处理的指导响应，自动生成详细的事件报告，并对脚本和代码进行彻底分析，以发现潜在威胁。

这些Co-Pilot尤其有助于有效总结事件，为分析人员提供快速见解，并加快他们的调查进程。这反过来又缩短了响应时间，减轻了分析师的工作量。这些安全领航员之所以强大，是因为它们建立在庞大的数据集基础上，例如微软的安全专用模型，该模型是在超过65万亿个安全信号集合上训练出来的。

这些厂商拥有的另一个关键优势是其广泛的数据集，这些数据集来自威胁情报和端点遥测，可用于高级人工智能模型训练。多年来积累的这些海量遥测数据集为开发强大的人工智能模型和全面的威胁情报能力提供了重要的竞争优势。此外，通过将专有工具（如Cortex、Falcon）与第三方平台无缝结合，他们还受益于强大的生态系统集成。

例如：

Charlotte AI可以将看似不相关的告警关联起来，以识别复杂的攻击模式，并提供实时威胁捕猎功能，充分利用其在端点的优势。这些平台现在提供集成的人工智能功能，将告警分析与自动响应协调结合起来，创建了一个更简化的安全工作流程。
强化分析，人工指导决策：人工智能可作为智能助手，处理大量数据并提供见解，但关键的安全决策仍需要人类的专业知识。现代AI驱动的告警分析系统可作为智能合作者，通过自动执行复杂的分析任务来增强安全团队的能力。

2) AI-SOC一级分析师解决方案

这些解决方案更进一步，目标是在告警生成时模拟人类一级分析师的操作。通过自动执行通常由人工分析师执行的常规调查任务，这些解决方案旨在缩短响应时间，减轻安全团队的工作量。这些系统不仅提供简单的告警摘要，还提供丰富的可操作见解。它们的核心功能可分为以下几个主要作用：

告警分组： 他们利用人工智能工具有效地组织和整合告警，以最大限度地减少噪音，更清晰地了解潜在威胁：

每个资产的告警重复数据删除和分组： 它们可识别和合并可能绕过最初SIEM过滤的重复事件。它们还可汇总与同一资产相关的告警，从而创建潜在威胁的整体视图。
误报告警: 这些解决方案会对大量数据集进行筛选，以识别真正的威胁并排除误报。它们为分析师提供结案的详细解释。尽管人工智能在简化分流方面取得了进步，但人类的专业知识对于验证告警和做出最终决定仍然至关重要。

告警增强（True Positives）：人工智能通过添加必要的上下文来增强原始告警，为分析人员提供彻底调查和决策所需的信息。主要增强领域包括：

失陷指标（IOC）增强: 这是一个关键组件。该系统利用威胁情报推送，使用付费和开源情报源或者企业将所有情报数据集中在一个中央位置的威胁情报平台(TIP)执行检查；
机器（端点/服务器）增强：系统收集受影响机器的详细信息，如配置、漏洞和活动模式；
账户（身份和访问管理）增强: 解决方案检索用户帐户详细信息、访问模式和最近的活动，以识别潜在的滥用或泄露。

通过强大的告警分组和丰富功能，许多AI-SOC分析师旨在加强人类分析师的工作流程，随后随着时间的推移，用AI agent取代重复性任务。不过，也存在一些局限性：

预定义检测：人工智能1线系统主要在预定义检测规则的范围内运行，需要定期微调以适应新的威胁；
启用挑战：在初始部署期间和针对新的检测场景配置这些工具可能会耗费大量资源；
花在误报上的额外时间：虽然人工智能有助于简化分流，但仍需要人类的专业知识来验证告警并做出最终决定。相对于分析师而言，人们担心管理这些解决方案所需的时间。

不要指望这些工具能完全消除误报(FP)。虽然它们能提供帮助，但人类仍必须对告警做出最终决定。人工智能一线工具会引导您找到答案，但不会替您做出决定--它们的主要目的是自动执行例行任务，让分析师能够专注于更关键的问题。

厂商示例：一些领先的厂商包括Dropzone、Prophet AI和Hunters AI；
Dropzone：Dropzone的可视化给我留下了深刻印象--其用户友好的用户界面和界面设计可为分析师提供无缝导航；
Prophet AI: 他们的快速部署给我留下了深刻印象。与竞争对手相比，Prophet AI集成到环境中的速度更快，为调查问题和证据提供了可见性；
Hunters AI： 他们发布了Hunters AI辅助调查，利用先进的AI功能提供量身定制的上下文、解释和可行的下一步措施。该解决方案旨在增强各种技能水平的分析人员的能力。它提供增强的上下文摘要、相关解释和指导性补救措施。通过Hunters AI，分析师可获得所有相关信息的统一视图，从而实现快速调查。它通过自动上下文和可操作的见解为分析师节省了大量时间，解决了大量告警带来的挑战。Hunters AI对人工智能辅助调查进行了全面分析。
市场上有许多解决方案，包括值得注意的Intezer AI SOC解决方案。

3) AI-SOC二级分析师--反应式威胁猎手

第一级分析师在安全运营中心履行基本职责。然而，还有一类分析师拥有更高级的技能。他们通常负责深入的事件分析、威胁狩猎，并在调查工作流程中利用威胁情报、软件包分析器或取证工具。

这些分析师可称为人工智能响应者和威胁猎手。这使自动化更进一步。它不仅能分析告警，还能执行响应。例如，它可以自动隔离主机、隔离文件或调整拦截/允许列表。

因此，想象一下你从1级人工智能工具中收到一个告警，并将其标记为可疑文件。人工智能2级平台就可以介入并采取以下措施：

对确认的事件实施遏制、根除和恢复步骤；
执行主机隔离；
管理文件隔离区；
自动更新阻止/允许列表；
将多个来源的数据关联起来，以建立攻击的详细情况，并评估事件的影响半径；
一旦事件被触发，就进行被动的威胁搜寻；

虽然这些自动操作遵循预定义的流程，在处理常规任务时效率很高，但在处理复杂或定制的工作流程时却有局限性。这些系统在熟悉的既定流程中表现最佳，但在处理复杂情况（如我们稍后将讨论的合规性告警）时，可靠性就会降低。总的来说，一些解决方案正在不断发展，以应对SOC中高度动态、未定义的技术性场景。

4) AI自动化工程师：自定义工作流程的未来

AI自动化工程师将下一代SOAR/超级自动化与大型语言模型（LLM）功能结合到一个统一的平台中。这一新兴细分市场潜力巨大。创新的关键在于利用人工智能，通过简单的自然语言命令创建自动化工作流程。它们使安全运营中心(SOC)团队能够以最少的编码专业知识创建复杂的工作流程。

我们倾向这一类别的原因包括：

强大的工作流程功能：这些解决方案已经拥有强大的运行手册和自动化预定义工作流，可用于分流告警、收集数据和执行初步调查。它们可以在企业内的大量用例中做到这一点；
超越静态工作流程：一直以来，传统的SOAR解决方案依赖于执行静态工作流程的playbook，往往缺乏适应动态场景或细微环境的能力。现在，人工智能通过解读事件背景并相应调整响应，动态地丰富了工作流程。例如人工智能可以根据最新的威胁情报确定标记的IP地址是否真正恶意，或根据受影响资产的关键性自动调整修复步骤；
持续学习与适应：一直以来，SOAR依赖于预配置规则和手动更新操作手册，但随着威胁的演变，这些规则和操作手册可能会变得过时。现在，他们利用人工智能系统从每个事件中学习，不断提高检测和响应能力；
自定义自动化：构建和修改适合您环境的工作流程。团队可以使用NLP创建自动化流程，使用会话命令而不是代码。对于需要快速实施新检测逻辑或优化响应策略的团队来说，这项技术非常关键。

Torq、Tines、Mindflow和Blink Ops等领先平台都是这一领域的先驱。这些解决方案的唯一局限是，它们通常需要更多的资源和专业知识才能有效管理。

AI驱动的统一SOC工作流程的真实案例研究

这个分析解释了所涉及的核心流程：

1.识别：我们从SIEM告警开始，以管理员帐户在通常不使用的区域中启动新资源为例。然后，我们继续执行通常的分流流程以确定哪些步骤实际上可以完全自动化，而不是花费30多分钟手动完成。(请注意，所有这些步骤都考虑到了我们拥有丰富数据和运行分析所需的所有数据点。)

告警接收和分流代理激活-重复数据删除和分组 ：针对SOC或超自动化平台的人工智能首先要做的事情之一就是识别针对同一云帐户或用户触发的类似告警。这样可以减少噪音，有助于关注手头的实际问题。

Alert Enrichment告警富化：

内部富化： 人工智能平台会利用有关管理员帐户、历史供应模式和资源类型的详细信息来富化告警。它会检查此活动是否与先前授权的更改或预期的管理员行为一致。在这种情况下，自动化（无论是白盒还是黑盒解决方案）将与您的IAM或ITDR系统连接，以收集这些上下文。

外部富化：人工智能会获取威胁情报，检查管理员的IP或相关活动是否与已知的不良行为者或策略相匹配。例如，这些资源是否与加密挖矿活动或标记IP相关联？这种强化的质量在很大程度上取决于您使用的威胁情报源以及您对其可靠性的信心。在这里，自动化将所有相关信息整合到一处，使分析师或AI agent本身更容易确定告警是真阳性（TP）、误报（FP）还是需要升级。

讨论的关键问题包括：
涉及到谁（管理员帐户）；活动来自哪里？何时发生？

2.遏制（2线--调查）

挖掘日志并将其连接起来一直是一项乏味、耗时的任务。借助当今的SOC人工智能和超自动化平台，我们可以大大加快这项工作的速度，在某些情况下，甚至可以让平台自主处理这项工作。

时间线分析：在人工智能的帮助下，告警摘要可以重建事件的顺序，以确定配置开始的时间。这一步骤包括访问日志、搜索关键指标，以及自动构建一个时间线，以清楚地说明什么时间发生了什么。
取证证据：收集取证证据--另一个劳动密集型步骤--可以完全自动化。该平台可捕获受影响云实例的快照，列出所有运行进程和活动连接，并为相关CloudTrail日志或API活动准备已保存的搜索。这可确保分析师（甚至人工智能本身）获得进一步分析所需的一切。
我们旨在解决的关键问题:
发生了什么情况（如资源滥用）？
为什么会发生这种情况（例如，证书泄露、恶意意图）？

3.根除（3线--修复）--自动修复:

自动修复早在SOAR出现之初就已存在，而借助超自动化平台，您可以将其提升到一个新的水平。不过，对于AI驱动的SOC来说，这仍然是一个复杂的问题，因为每个组织都有自己处理修复的方式。

在允许系统进行自动修复的情况下，操作非常简单：隔离受影响的主机、轮换受损凭证或阻断失陷指标。这些操作可由自动化平台无缝执行，无需人工干预。

但是，如果修复步骤需要遵循变更管理流程，那么事情就会变得更有条理。在这种情况下，平台可以生成所需的变更请求，甚至准备CloudFormation/Terraform模板，以便在应用修复之前进行审查和批准。这样既能确保符合组织政策，又能利用自动化节省时间。

4.学到的经验教训：自适应学习：人工智能在这一阶段大显身手，将过去痛苦的手动工作自动化。它可以生成详细的根本原因分析以及为管理层和利益相关者量身定制的事件摘要，确保每个人都能获得所需的见解。但真正的价值在于实现反馈环路的自动化。

通过自适应学习，任何新发现的IOC或TTP都会自动添加到威胁情报库中，从而丰富未来的防御手段。同时，在事件中发现的任何检测漏洞都会被直接推送到积压事件中，供检测工程团队处理。这可确保持续改进，并在不增加额外开销的情况下保持防御的敏锐性。

Torq案例研究

Torq发布了他们的安全人工智能工作流构建器和Torq AI Socrates。我们将通过一个案例研究来了解Torq将如何处理可疑的IP行为。

事件案例研究描述AI驱动的SOAR + LLM如何融合：

SOC收到一条告警，内容涉及从企业设备到未知IP地址的可疑出站流量。该IP已被威胁情报信息标记为与恶意软件命令和控制服务器有关。

Torq Socrates如何解决事件

检测和工作流创建： 初级分析师注意到告警，并使用AI工作流创建器使用提示创建自动化规则："使用VirusTotal和其他集成威胁情报源检查IP地址192.168.1.100。如果标记为恶意，则启动遏制行动并向SOC发出告警"。工作流将自动生成并部署，从而使Torq Socrates接管调查工作。
富化和验证：Socrates从SIEM日志中获取更多上下文，以确定设备最近的活动，从EDR工具中获取恶意软件或可疑进程的证据，并使用威胁情报源来确认IP是否在多个来源中被标记为恶意。
自主决策：Socrates以高可信度识别出IP被标记为恶意。利用与EDR平台的集成，它可自主将受影响的设备与企业网络隔离。此外，它还会通过Slack向安全团队发出告警，并提供所采取的行动摘要。
人工监督和总结报告：Torq会生成一份关于所发生事件的详细报告，例如设备试图与标记IP通信。报告包括带有时间戳的活动日志，并确认未检测到数据外泄，且设备已被隔离。分析师可查看摘要以确认行动并决定进一步的补救措施。
主动跟进： 如果需要，将启动自动缓解措施。触发与设备关联的用户的密码重置。开始取证调查，对隔离的设备进行深度扫描，以识别潜在的恶意软件及其来源。
沟通和记录：Torq向利益相关者（如IT和管理层）提供定制报告，以非技术术语解释事件和解决方案。为合规记录自动生成不可更改的文档，确保所采取的行动具有完全的可追溯性。

这种超自动化流程结合了自动化和人工智能，可解决事件从检测到解决的整个生命周期问题。我们建议您访问此处阅读有关新解决方案的信息：SOC中的人工智能宣言指南.

AI Agents在SecOps中的作用

本报告的大部分内容都概述了人工智能在SOC中的应用现状，其中包括上文提到的AI驱动的统一SOC与人在其中的案例研究。不过，我们相信，在未来，AI agent将在网络安全领域发挥重要作用。

AI Agents --SecOps实施

那么，AI agent究竟是什么呢？

我们习惯于通过简单的文本提示和回复与大型语言模型（LLMs）（如ChatGPT）进行交互，而AI agent则将这种交互提升到了一个新的水平。想象一下，LLM不仅能提供答案，还能计划、决策和执行任务，直到任务完全完成。从本质上讲，AI agent就像一个聊天机器人，具有采取行动、访问工具和迭代完成任务的额外能力，而不需要持续的人工干预。

您可能会问，既然已经存在像GPT-4这样的高级LLMs，为什么还需要代理呢？非代理LLMs的主要局限在于它们无法适应最初的提示和响应之外的情况--在没有额外输入的情况下，它们无法执行操作或完善输出。AI agent通过提供适应性和灵活性而大放异彩，使其能够自主思考、迭代和改进其响应。

这种增强功能主要是通过一个名为ReAct的概念来实现的，该概念是" Reasoning and Acting推理和行动"的简称。将其视为赋予LLM循环推理和行动的能力，直至圆满完成任务。这类似于您可能会与ChatGPT来回多次以完善一个答案--只不过AI agent在内部完成了这一过程，从而简化了流程。

想象一下，您不再需要手动编写自动化脚本。取而代之的是，AI agent或基于浏览器的插件会监控您的日常任务，提出自动化流程建议，甚至为您构建自动化流程。需要集成新工具或服务？AI agent会检索应用程序接口（API）文档，并用所有可用操作构建集成。这不是遥远的未来，而是AI agent在当今网络安全领域的变革潜力。

AI agent有望通过自动化重复性任务、增强威胁检测和实现更积极主动的防御策略来彻底改变网络安全。然而，要充分发挥其潜力，必须解决信任、可解释性和集成方面的挑战。通过仔细评估AI agent的优势并考虑上述标准，企业可以就采用AI agent加强网络安全态势做出明智的决策。

采用AI-SOC助手面临的更广泛挑战/障碍

信任问题：最大的挑战在于，安全运营商对这些解决方案的信任度还不够高，因此不敢轻易采用。其次，由于担心遗漏关键信息，人们对将这些技术应用于前线也存在顾虑。
有限的定制和黑盒人工智能：行业中的一个重大挑战是黑盒解决方案的盛行，人工智能模型的训练是在幕后进行的。企业只能收到丰富的告警和修复建议等最终输出，而无法了解或控制底层流程。许多厂商限制自定义或微调其模型的能力，造成了对厂商更新和修复的依赖。对于有独特安全需求的大型企业来说，这种限制尤其成问题。虽然小型企业可能会受益于快速部署和标准化解决方案，但企业往往需要更大的灵活性来应对其特定的安全环境和检测场景。决策缺乏透明度（常见于黑盒解决方案）可能与受监管行业的合规要求相冲突。
分析师的参与-人工智能工具并不能完全取代人类分析师，而是对他们的补充。分析师仍然需要验证分析结果、处理升级和调整工作流程，以适应不断变化的威胁。必须对团队进行培训，以便与AI驱动的系统进行有效互动，这些系统可能会面临阻力或陡峭的学习曲线。
模型的准确性和有效性-与人工分析师相比，这些模型在30天、60天和90天内具有高度准确性，这对技术至关重要。模型能否产生与顶级分析师反应相似的结果是关键所在。

结论：全面AI驱动的SOC之路

如果我们想让SOC自动化更上一层楼，我们就需要能够处理整个周期的平台--从事件响应到检测工程、自动化，最后到测试整个过程。目前，大多数AI-SOC工具只能提供拼图的一部分，让人误以为自动化程度超过了实际水平。
别忘了，虽然这些平台在自动化事件响应方面表现出色，但在处理合规性告警和治理问题方面却往往力不从心。事实上，任何特定环境中的大部分告警都与漏洞管理或云安全有关，而目前的人工智能解决方案无法有效处理这些问题。

原文链接：

https://softwareanalyst.substack.com/p/revolutionizing-secuity-operations

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。