隨著微軟六個新的AI安全副駕駛的推出，越來越多人意識到AI安全助手在安全運營中心（SOC）的價值。這些工具正在重塑SOC的運作方式，使安全團隊能夠更快、更準(zhǔn)確地應(yīng)對威脅。

解決SOC團隊痛點

在當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域，安全運營中心（SOC）面臨著雙重挑戰(zhàn)：一方面是海量告警信息的持續(xù)涌入，另一方面是專業(yè)人才的嚴(yán)重短缺。隨著AI安全助手技術(shù)的快速發(fā)展，這些問題正在得到有效緩解。

多系統(tǒng)切換集成在當(dāng)今許多 SOC 中仍然存在，這雖然節(jié)省了軟件成本，但卻使最優(yōu)秀的分析師和領(lǐng)導(dǎo)者精疲力竭。

有數(shù)據(jù)顯示，超過70%的SOC 分析師表示他們已經(jīng)倦怠，66%報告說他們一半的工作重復(fù)性足以被自動化。此外，近三分之二計劃在 2025 年前轉(zhuǎn)換崗位，利用 AI 加速SOC 自動化的進程已經(jīng)不可逆轉(zhuǎn)。

隨著更多組織面臨保持 SOC 高效運行并配備足夠人員以遏制威脅的挑戰(zhàn)，AI 安全助手備受關(guān)注。最新一代 AI 安全助手不僅加速響應(yīng)，還在培訓(xùn)和留住員工方面證明了其不可或缺的作用，消除了機械性、常規(guī)性工作，同時為 SOC 分析師創(chuàng)造了學(xué)習(xí)和獲得更多收入的新機會。

新一代AI安全助手已經(jīng)超越了簡單的聊天界面，發(fā)展為能夠?qū)崟r修復(fù)、自動執(zhí)行策略并跨云、終端和網(wǎng)絡(luò)領(lǐng)域進行集成分類的代理型AI系統(tǒng)。它們專為整合到SIEM、SOAR和XDR流程而設(shè)計，為SOC帶來了顯著的性能提升。

微軟最新推出的六個安全副駕駛代理，包括用于釣魚分類、內(nèi)部風(fēng)險、條件訪問、漏洞修復(fù)和威脅情報的代理，以及五個合作伙伴構(gòu)建的代理，旨在幫助安全團隊處理高頻率、重復(fù)性的任務(wù)，從而讓安全團隊專注于更復(fù)雜的網(wǎng)絡(luò)威脅和主動安全措施。

人機協(xié)作而非替代

盡管AI安全助手功能強大，但安全領(lǐng)域的專家都強調(diào)使用 AI 來增強和加強 SOC 團隊的技能，而不是用助手替代人員。

CrowdStrike創(chuàng)始人兼CEO George Kurtz指出："這意味著你可以將一級分析師轉(zhuǎn)變?yōu)槿壏治鰩煟梢詫?小時的日常工作轉(zhuǎn)變?yōu)?0分鐘。"

Ivanti 首席信息官 Robert Grazioli 強調(diào)，AI安全助手不是消除人為因素，而是用 AI 助手賦能人類，減少重復(fù)性任務(wù)，并讓分析師專注于復(fù)雜威脅。他補充說："分析師倦怠是由重復(fù)性任務(wù)和持續(xù)涌入的低保真度告警引起的。AI 助手能夠過濾這些噪音，讓專家處理最棘手的問題。"Ivanti 的研究發(fā)現(xiàn)，采用 AI 分類的組織可以將誤報減少高達(dá)70%。

WinWire首席技術(shù)官 Vineet Arora 持相同觀點。他表示，AI將作為人類分析師的力量倍增器，而非替代品。例如，AI 可以處理初始告警分類和對安全問題的常規(guī)響應(yīng)，使分析師能夠?qū)I(yè)知識集中在復(fù)雜威脅和戰(zhàn)略性工作上。因此他認(rèn)為，人類團隊?wèi)?yīng)該保持對 AI 系統(tǒng)的監(jiān)督，同時利用它們減少日常工作量。

Palo Alto Networks創(chuàng)始人兼首席技術(shù)官Nir Zuk表示："我們的AI驅(qū)動平臺不是要將分析師從流程中移除；它們統(tǒng)一了SOC工作流程，使分析師能夠更具戰(zhàn)略性地完成工作。"

思科安全與協(xié)作執(zhí)行副總裁兼總經(jīng)理Jeetu Patel指出："AI的真正價值在于它如何縮小網(wǎng)絡(luò)安全人才差距，而不是通過自動化讓分析師出局，而是使他們的效率呈指數(shù)級提高。"

CrowdStrike首席技術(shù)官Elia Zaitsev警告說，專注于完全替代人類專業(yè)人員而非與他們合作是一種誤導(dǎo)性策略。AI驅(qū)動工具應(yīng)被視為人類的協(xié)作伙伴，這一概念在網(wǎng)絡(luò)安全領(lǐng)域尤為重要。

七個主要應(yīng)用場景

AI安全助手在SOC中的應(yīng)用正在快速擴展，以下是當(dāng)前主要的應(yīng)用場景：

1.加速告警分類

使用Microsoft 安全副駕駛和Charlotte AI等助手的一級分析師可以將分類時間從數(shù)小時縮短到幾分鐘。這得益于預(yù)訓(xùn)練模型，這些模型可以標(biāo)記已知的戰(zhàn)術(shù)、技術(shù)和程序（TTP），交叉引用威脅情報，并附帶可信度評分提供分析結(jié)果。

2.告警去重和干擾過濾

Observo Orion和Trellix WISE等產(chǎn)品使用上下文過濾關(guān)聯(lián)多源遙測，消除低優(yōu)先級噪音，將告警疲勞減少多達(dá)70%，使團隊能夠?qū)Ｗ⒂诟弑Ｕ嫘盘枴ophos XDR AI Assistant為擁有較小團隊的中型SOC實現(xiàn)了類似的結(jié)果。

3.策略執(zhí)行和防火墻調(diào)優(yōu)

Cisco AI Assistant和Palo Alto的Cortex助手能夠根據(jù)遙測閾值和異常檢測動態(tài)建議并自動實施策略變更，這對于具有復(fù)雜、分布式防火墻拓?fù)浜土阈湃问跈?quán)的SOC尤為重要。

4. 跨域威脅關(guān)聯(lián)

微軟安全副駕駛SentinelOne Purple AI 集成身份遙測、 SIEM 日志和終端數(shù)據(jù)，以檢測橫向移動、權(quán)限提升或可疑的多跳活動。分析師接收上下文劇本，減少超過 40%的根本原因分析。

5.暴露驗證和入侵模擬

Cymulate AI Copilot模擬紅隊邏輯并測試針對新CVE的暴露，使SOC能夠主動驗證控制，將手動驗證步驟替換為集成到SOAR工作流程中的自動化姿態(tài)測試。

6.自然語言SIEM交互

Exabeam Copilot和Splunk AI Assistant允許分析師將自然語言查詢轉(zhuǎn)換為可執(zhí)行的SIEM命令，使調(diào)查能力民主化，特別是對于技術(shù)性較低的人員，并減少對深度查詢語言知識的依賴。

7.身份風(fēng)險降低

Oleria Copilot持續(xù)掃描休眠賬戶、過度訪問權(quán)限和未鏈接的權(quán)限，自動生成清理計劃并執(zhí)行最小權(quán)限策略，幫助減少混合環(huán)境中的內(nèi)部威脅面。

將海量數(shù)據(jù)轉(zhuǎn)化為洞察

當(dāng)前，SOC 不斷被數(shù)據(jù)淹沒，這些數(shù)據(jù)主要來自終端日志、防火墻事件日志、身份變更通知和日志。AI安全助手能夠輕松盤活這些數(shù)據(jù)，從噪音中分離出重要信號，提高 SOC 團隊的準(zhǔn)確性、洞察力和響應(yīng)速度。

如此，SOC 團隊不再被告警淹沒，而是響應(yīng)可自動分類的優(yōu)先級、高保真度事件。

據(jù)悉，CrowdStrike 的Charlotte AI 每天從 Falcon 平臺處理超過 1萬億高保真信號，并基于數(shù)百萬個真實分析師決策進行訓(xùn)練。它自主分類終端檢測，與人類專家的一致性超過 98%，每周為團隊平均節(jié)省 40 多小時的手動工作。

Microsoft 安全副駕駛客戶報告稱，在調(diào)查和響應(yīng)、威脅搜尋和威脅情報評估等基礎(chǔ)任務(wù)上，節(jié)省了安全分析師高達(dá) 40%的時間。在準(zhǔn)備報告或排除小問題等更平凡的任務(wù)上，安全副駕駛提供的效率提升高達(dá) 60%以上。

AI安全助手的最終目標(biāo)不僅僅是智能、提示驅(qū)動的個人編程助手；而是跨SOC工作流程集成AI驅(qū)動的決策制定。未來的AI安全助手將更加自主，能夠在更廣泛的安全領(lǐng)域中做出決策并采取行動。

通過整合身份、終端和網(wǎng)絡(luò)遙測，AI安全助手將減少識別橫向移動和權(quán)限提升所需的時間，這是攻擊鏈中最危險的兩個階段。它們不僅加速響應(yīng)，還在培訓(xùn)和留住員工方面發(fā)揮著關(guān)鍵作用，消除了機械性工作，同時為SOC分析師創(chuàng)造了學(xué)習(xí)和職業(yè)發(fā)展的新機會。

隨著網(wǎng)絡(luò)威脅的不斷演變和安全人才缺口的持續(xù)存在，AI安全助手將在未來的SOC中扮演越來越重要的角色，幫助組織在資源有限的情況下維持高效的安全運營。通過減少誤報、自動化常規(guī)任務(wù)和提供更深入的威脅洞察，AI安全助手正在成為現(xiàn)代SOC不可或缺的組成部分。