蓬勃發(fā)展的AI技術(shù)已經(jīng)滲透到各個領(lǐng)域，重塑千行百業(yè)。在我國網(wǎng)絡(luò)安全領(lǐng)域，各路廠商正積極擁抱AI技術(shù)，將其與安全運營的各個環(huán)節(jié)深度融合，推動安全運營向自動化、智能化方向發(fā)展。各廠商基于自身的技術(shù)積累、產(chǎn)品優(yōu)勢和對客戶需求的理解，紛紛推出各具特色的AI創(chuàng)新應用，呈現(xiàn)出百花齊放的態(tài)勢。

AI應用的廣泛度和成熟度

智能化安全運營（ISOC）將AI技術(shù)與傳統(tǒng)SOC應用相結(jié)合，貫穿于安全運營的各個環(huán)節(jié)，可以實現(xiàn)更精準的威脅檢測、更快速的事件響應、更全面的安全感知、更智能的安全決策支持。安全牛認為，目前ISOC的典型應用場景主要包括風險識別、威脅檢測、事件響應、運營管理、知識問答和專家輔助。在安全牛即將發(fā)布的《智能化安全運營中心應用指南（2025版）》中，對這些應用場景進行了深度的分析。

圖片

一、風險識別

對于擁有大量IT資產(chǎn)和復雜網(wǎng)絡(luò)環(huán)境的組織，傳統(tǒng)SOC面臨諸多問題：一方面，傳統(tǒng)SOC需要定期進行滲透測試來評估安全防御體系的有效性，但其漏洞管理依賴人工操作，效率低下且容易出錯；另一方面，面對數(shù)量龐大、種類繁多且變更頻繁的IT資產(chǎn)，傳統(tǒng)SOC的管理方式效率低、易出錯，難以全面掌握資產(chǎn)全貌和實時安全狀態(tài)，無法有效滿足組織的安全管理需求。 

圖片

通過AI技術(shù)賦能風險識別的各個環(huán)節(jié)，實現(xiàn)從被動到主動的資產(chǎn)管理、從人工到自動的風險評估、從割裂到閉環(huán)的漏洞管理，為構(gòu)建更具主動性、更智能的安全運營體系奠定了基礎(chǔ)，尤其是在資產(chǎn)管理、風險評估和漏洞管理三大場景中。

圖片

智能化風險識別

1.資產(chǎn)管理

ISOC利用機器學習、知識圖譜等技術(shù)，可以實現(xiàn)資產(chǎn)的自動發(fā)現(xiàn)、分類、檢測并關(guān)聯(lián)，主要應用于實現(xiàn)智能化的資產(chǎn)梳理，提升資產(chǎn)梳理的效率。

智能化賦能

• 利用機器學習模型等技術(shù)，可以自動識別資產(chǎn)類型、操作系統(tǒng)、應用軟件等，實現(xiàn)資產(chǎn)自動發(fā)現(xiàn)與識別；
• 利用自然語言處理技術(shù)，從資產(chǎn)配置文檔、漏洞描述中提取關(guān)鍵屬性信息，并根據(jù)資產(chǎn)屬性對資產(chǎn)進行分類和標記（例如，服務(wù)器、工作站、數(shù)據(jù)庫、Web應用等）；
• 利用機器學習模型，檢測資產(chǎn)配置變更，識別潛在風險；
• 利用知識圖譜技術(shù)，構(gòu)建資產(chǎn)之間的關(guān)聯(lián)關(guān)系圖譜。例如，應用與服務(wù)器的依賴關(guān)系、用戶與設(shè)備的關(guān)聯(lián)關(guān)系等。

智能化優(yōu)勢

• 提高資產(chǎn)盤點效率：自動化資產(chǎn)盤點，降低人工成本；
• 全面掌握資產(chǎn)信息：提供完整、準確的資產(chǎn)清單，消除管理盲區(qū)；
• 及時發(fā)現(xiàn)資產(chǎn)變更：快速識別未授權(quán)的資產(chǎn)變更，降低安全風險；
• 可視化資產(chǎn)關(guān)系：通過知識圖譜，清晰顯示資產(chǎn)之間的關(guān)聯(lián)關(guān)系，從而進行風險評估和事件調(diào)查。

2.風險評估

智能化賦能

• 強化學習：自動化漏洞掃描、漏洞利用、攻擊路徑規(guī)劃；
• 機器學習：漏洞利用選擇、攻擊策略優(yōu)化；
• 知識圖譜：目標系統(tǒng)信息收集、攻擊路徑規(guī)劃；
• 自然語言處理：漏洞報告生成。

智能化優(yōu)勢

• 提高滲透測試效率：自動化執(zhí)行滲透測試，縮短整個測試周期；
• 降低滲透測試成本：減少對人工滲透測試專家的依賴；
• 擴大滲透測試覆蓋面：對目標系統(tǒng)進行更全面、更深入的安全測試；
• 提高滲透測試質(zhì)量：發(fā)現(xiàn)更多潛在的安全漏洞。

3.自動化滲透測試和漏洞全生命周期管理

智能化賦能

• 利用自然語言處理技術(shù)，讀取CVE并解析漏洞描述、提取關(guān)鍵信息，如CVE編號、CVSS評分、影響范圍、修復建議等；
• 利用機器學習模型，根據(jù)漏洞的嚴重程度、可利用性、影響范圍等因素，對漏洞進行優(yōu)先級排序。利用知識圖譜技術(shù)，分析漏洞與資產(chǎn)、應用、業(yè)務(wù)的關(guān)聯(lián)，評估漏洞的影響范圍，根據(jù)漏洞類型、資產(chǎn)配置等因素，推薦最佳修復方案，并持續(xù)驗證安全控制的有效性；
• 利用知識圖譜技術(shù)，收集目標系統(tǒng)的相關(guān)信息（例如，網(wǎng)絡(luò)、應用軟件、開放端口、服務(wù)配置等）；
• 利用自動化漏洞掃描工具和機器學習模型，識別目標系統(tǒng)存在的漏洞，選擇最有可能成功利用的漏洞，規(guī)劃最佳攻擊路徑并自動執(zhí)行漏洞利用，獲取系統(tǒng)權(quán)限。最后自動生成滲透測試報告，包括發(fā)現(xiàn)的漏洞、攻擊路徑、修復建議等。

智能化優(yōu)勢

• 自動化漏洞管理流程：提高漏洞管理效率，降低人工成本；
• 確定風險修復優(yōu)先級：優(yōu)先修復高危漏洞，降低安全風險；
• 準確評估漏洞影響范圍：避免盲目修復，減少業(yè)務(wù)中斷時間；
• 提供智能修復建議：加快漏洞修復速度，提高修復質(zhì)量。

二、威脅檢測與研判

傳統(tǒng)SOC存在諸多局限性，基于規(guī)則的威脅檢測方法誤報率和漏報率高，難以應對高級威脅并準確評估安全告警的優(yōu)先級；面對海量日志數(shù)據(jù)，人工分析效率低下且容易出錯，難以發(fā)現(xiàn)有價值的安全信息；在威脅情報處理上，人工分析難以應對數(shù)量龐大、來源多樣且質(zhì)量參差不齊的情報，無法有效利用；對于內(nèi)部威脅，如賬戶盜用、異常登錄等用戶異常行為難以識別；在安全事件調(diào)查中，人工分析大量數(shù)據(jù)效率低且易出錯，難以快速準確地梳理事件脈絡(luò)和確定根本原因及影響范圍，亟需自動化手段提升調(diào)查效率和準確性。 

圖片

ISOC借助AI技術(shù)，在威脅檢測、告警降噪、情報生成利用、0day和高級威脅檢測以及事件調(diào)查等多方面實現(xiàn)智能化升級，有效提升了安全運營的效率、準確性和科學性，構(gòu)建了更智能、高效的安全運營體系。

智能化威脅檢測

1.威脅檢測

ISOC可以通過對日志、業(yè)務(wù)流量及安全告警數(shù)據(jù)等進行檢測和識別潛在威脅及異常行為，特別是APT攻擊、0-day漏洞攻擊、無文件攻擊等高級威脅，提高威脅檢測的覆蓋范圍和效率，降低誤報率和漏報率。

智能化賦能

• 深度學習：利用深度學習模型分析網(wǎng)絡(luò)流量、終端行為等數(shù)據(jù)，檢測網(wǎng)絡(luò)入侵檢測、惡意軟件分析、漏洞利用等行為；
• 機器學習：利用機器學習進行威脅分類、威脅評分、誤報過濾。如對安全告警進行分類和評分，識別出高風險的告警；
• 用戶和實體行為分析：用戶異常行為檢測。如異常登錄、異常訪問等；
• 知識圖譜：利用知識圖譜將安全事件與威脅情報進行關(guān)聯(lián)，評估事件的風險等級。

智能化優(yōu)勢

• 提高威脅檢測準確率：降低誤報率和漏報率；
• 檢測高級威脅：識別傳統(tǒng)方法難以檢測的高級持續(xù)性威脅（APT）；
• 加快威脅響應時間：快速識別和定位威脅，加快響應速度；
• 提升安全運營效率：智能化威脅檢測和評估，減輕安全評估負擔。

2.告警降噪

ISOC利用自然語言處理技術(shù)，解析非結(jié)構(gòu)化日志數(shù)據(jù)，提取關(guān)鍵信息（如時間、IP地址、用戶名、事件類型等）；利用機器學習模型，檢測異常日志事件，如登錄失敗次數(shù)過多、異常文件訪問等，對日志進行分析，識別常見的日志模式，并分析日志事件序列，識別潛在的攻擊行為；利用知識圖譜技術(shù)，關(guān)聯(lián)不同來源的日志數(shù)據(jù)，攻擊事件的完整流程。主要應用于通過AI技術(shù)對海量告警進行精準降噪，減少誤報，將真正告警從大量無效告警中提取出來。

智能化賦能

• 自然語言處理：日志解析、關(guān)鍵詞提取、語義分析。如從日志中提取源IP地址、目標IP地址、端口號、協(xié)議類型、事件類型等；
• 機器學習：異常日志檢測、日志模式識別；
• 深度學習：日志序列分析、攻擊行為識別；
• 知識圖譜：日志關(guān)聯(lián)分析、事件溯源。如將來自不同安全設(shè)備的日志進行關(guān)聯(lián)，發(fā)現(xiàn)隱藏的攻擊鏈。

智能化優(yōu)勢

• 智能化日志分析：提高日志分析效率，降低人工成本；
• 快速發(fā)現(xiàn)安全事件：及時識別異常日志事件，發(fā)現(xiàn)潛在威脅；
• 提高事件調(diào)查效率：通過日志關(guān)聯(lián)分析，快速定位事件原因；
• 提升設(shè)備采集能力：從海量日志數(shù)據(jù)中提取有價值的安全信息，全面了解安全設(shè)備。

3.情報生成和利用

ISOC可以利用自然語言處理技術(shù)，從情報報告中提取關(guān)鍵信息（如攻擊者、攻擊手段、漏洞信息、IOC等），自動生成情報摘要，方便安全分析師快速了解情報內(nèi)容；利用知識圖譜技術(shù)，關(guān)聯(lián)不同來源的情報，構(gòu)建威脅知識圖譜，從情報中提取威脅指標（IP地址、漏洞、APT組織信息等），用于威脅檢測；利用機器學習模型，根據(jù)情報的來源、時效性、相關(guān)性等因素，對情報進行優(yōu)先級排序；翻譯和處理不同語言的威脅情報。主要應用于利用AI技術(shù)進行威脅情報的提取，提升威脅情報的準確率。

智能化賦能

• 自然語言處理：利用自然語言處理提取威脅情報中的關(guān)鍵信息，例如IOC、攻擊者畫像和技術(shù)等，并實現(xiàn)威脅情報的情報信息提取、情報摘要生成、情報真?zhèn)闻袛嗟牧鞒讨悄芑?。如從安全報告、博客、論壇等來源收集威脅情報，并將其應用到威脅檢測中；
• 知識圖譜：情報關(guān)聯(lián)分析、威脅指標提取。如構(gòu)建威脅情報知識圖譜，將不同來源的威脅情報關(guān)聯(lián)起來，形成更全面的威脅情報視圖；
• 機器學習：情報優(yōu)先級排序、情報可信度評估。對威脅情報進行評分，評估威脅情報的可信度和相關(guān)性；
• AI智能體：自動將威脅情報應用到安全設(shè)備和系統(tǒng)中，例如更新防火墻的阻止列表、IDS/IPS的簽名庫、EDR的檢測規(guī)則等。

智能化優(yōu)勢

• 智能化情報分析：提高情報分析效率，降低人工成本；
• 快速獲取關(guān)鍵情報：及時了解最新的安全威脅和攻擊趨勢；
• 提高威脅檢測能力：利用威脅情報，提高威脅檢測的準確性和時效性；
• 加強威脅情報共享：與合作伙伴共享威脅情報，共同防御網(wǎng)絡(luò)攻擊。

4.0day和高級威脅檢測

ISOC可以解讀日志數(shù)據(jù)，識別系統(tǒng)故障、配置錯誤及異常行為。利用機器學習模型，為每個用戶構(gòu)建行為畫像，描述其正常的行為模式。實時監(jiān)控用戶行為，與用戶行為畫像進行對比，檢測異常行為。對檢測到的異常行為進行智能風險評分，確定威脅等級。對高風險異常行為同樣發(fā)布，并觸發(fā)相應的響應措施。

智能化賦能

• 機器學習：用戶行為建模、異常行為檢測、風險評分；
• 深度學習：序列行為分析、長期行為模式學習；
• 集成學習：結(jié)合多個模型，提高檢測準確率。

智能化優(yōu)勢

• 檢測內(nèi)部威脅：識別內(nèi)部人員的不當行為或賬戶泄露；
• 降低誤報率：通過學習用戶正常行為模式，減少誤報；
• 提高威脅響應速度：及時發(fā)現(xiàn)和阻止內(nèi)部威脅；
• 加強賬戶安全：預防賬戶被盜用或積分。

5.事件調(diào)查

ISOC利用AI智能體賦能可以顯著提升安全事件分析的效率和深度，如利用知識圖譜技術(shù)，關(guān)聯(lián)不同來源的數(shù)據(jù)，構(gòu)建事件關(guān)系圖譜，還原攻擊者的攻擊路徑，分析攻擊者的特征和行為模式，利用自然語言處理技術(shù)，自動生成事件摘要，方便安全分析師快速了解事件情況。利用LLM幫助快速生成調(diào)查報告。幫助安全分析師快速、準確地了解事件的來龍去脈，確定事件的根本原因和影響范圍，并為響應和提供更可靠的決策支持。

智能化賦能

• 知識圖譜：事件關(guān)聯(lián)分析、攻擊還原路徑、攻擊者畫像。如還原攻擊路徑，幫助安全分析師了解攻擊者的攻擊步驟；
• 自然語言處理：事件摘要生成、調(diào)查報告撰寫。如從安全事件描述、日志信息等文本數(shù)據(jù)中提取關(guān)鍵信息，輔助安全分析師進行調(diào)查；
• 機器學習：攻擊源定位、攻擊手段識別。如進行根本原因分析，例如識別導致數(shù)據(jù)泄露的漏洞或配置缺陷；
• 自動生成報告：利用大語言模型（LLM）自動生成和優(yōu)化調(diào)查報告。

智能化優(yōu)勢

• 提高事件調(diào)查的效率和準確性；
• 幫助安全分析師更快地找到事件的根本原因和影響范圍；
• 為安全事件的響應和處置提供更全面的信息支持。

三、事件響應

安全事件響應需要快速、準確，傳統(tǒng)SOC手動響應方式效率低、易出錯。通過AI賦能，ISOC可以實現(xiàn)安全事件響應的智能化和自動化，以及安全報告的自動生成，從而大幅提升安全運營的效率和效果，降低安全風險。

圖片

ISOC通過AI賦能實現(xiàn)安全事件響應的智能化和自動化，包括自動化響應、智能決策、動態(tài)調(diào)整策略及報告自動生成等功能，大幅提升安全運營效率和效果，降低安全風險，同時減輕分析師負擔并減少人為錯誤。特別是AI智能體的應用，使得ISOC能夠更智能地進行響應決策和自動化編排，提升事件響應效率和報告的快速生成。 

圖片

ISOC利用SOAR平臺、AI智能體的賦能可以大幅提升安全事件的響應速度和效率，縮短安全事件的響應時間（MTTR），減少安全事件造成的損失，并實現(xiàn)更精細化和自動化的響應，實現(xiàn)安全事件的自動響應和處置，從而減少人工干預。比如說，定義各種安全事件的響應流程，如惡意軟件感染響應流程、DDoS攻擊響應流程等。利用機器學習模型，根據(jù)威脅類型、影響范圍等因素，選擇最佳響應動作，如隔離受感染主機、阻止惡意IP地址、封鎖用戶賬戶等，并自動執(zhí)行響應動作，事后利用強化學習技術(shù)，根據(jù)響應效果，動態(tài)調(diào)整響應策略。

智能化賦能

• 智能的響應決策：根據(jù)事件的類型、影響范圍、風險等級以及當前的威脅預警，利用進行響應決策，并推薦最佳的響應措施；
• 智能化響應預案生成：根據(jù)預定義的響應策略和當前的事件信息，自動生成針對該事件的響應預案，包括具體的響應步驟、負責人、時間要求等；
• 與SOAR平臺的無縫集成：SOAR平臺自動執(zhí)行預案中的自動化操作，例如調(diào)用各個安全設(shè)備的API接口進行隔離、阻止、清除等操作；
• 動態(tài)調(diào)整響應策略：根據(jù)響應措施的執(zhí)行效果和威脅的變化，動態(tài)調(diào)整響應策略，實現(xiàn)自適應的響應；
• 自動化的響應驗證：配合相關(guān)平臺（如EDR、NDR）進行模擬攻擊或漏洞掃描，驗證響應措施的有效性。

智能化優(yōu)勢

• 提高響應效率：快速響應安全事件，減少響應時間；
• 減輕分析師負擔：使專家聚焦分析處理更復雜的安全問題；
• 降低安全風險：及時阻止威脅擴散，減少安全損失；
• 減少人為錯誤：自動化執(zhí)行響應動作，避免人為操作失誤。

四、運營管理

隨著運營管理范圍的擴大，安全運營業(yè)務(wù)覆蓋到模擬演練、數(shù)據(jù)安全和合規(guī)等領(lǐng)域。傳統(tǒng)的安全演練方式存在投入大、難以模擬真實復雜攻擊場景的問題，難以高效提升安全團隊的應急響應能力；數(shù)據(jù)安全管理主要依賴人工梳理和配置策略，難以全面、準確、及時掌握企業(yè)數(shù)據(jù)安全現(xiàn)狀；合規(guī)評估也依賴人工操作，工作量大、效率低、易出錯，難以保證全面性和一致性，且難以應對不斷更新變化的合規(guī)要求。因此，組織需要更高效、簡潔、可重復的模擬演練方式，以及更自動化、智能化的數(shù)據(jù)安全管理和合規(guī)評估手段，以提升整體安全管理水平。

圖片

ISOC通過引入人工智能技術(shù)，特別是AI智能體，實現(xiàn)了安全運營管理的高效智能化、自動化，能夠幫助企業(yè)更、更全面地進行資產(chǎn)管理、風險評估、合評估規(guī)范，并提供智能化的決策支持，提升整體安全管理水平。

圖片

1.模擬演練

ISOC利用LLM生成演練劇本，包括攻擊目標、攻擊策略、時間線等，并實現(xiàn)模擬演練的計劃、模擬攻擊和報告生成。

智能化賦能

• 利用知識圖譜構(gòu)建演練環(huán)境模型，包括網(wǎng)絡(luò)拓撲、資產(chǎn)信息、漏洞信息等；
• 利用強化學習訓練攻擊者自動發(fā)現(xiàn)漏洞、利用漏洞、規(guī)劃攻擊路徑；
• 利用AI生成惡意流量、釣魚郵件、惡意軟件樣本。利用自然語言處理模擬攻擊者的通信和行為；
• 利用SOAR平臺編排防御流程，模擬安全團隊的響應操作；
• 利用機器學習模型進行威脅檢測和事件分析。自動執(zhí)行演練，記錄攻擊方和防御方的行為。評估演練結(jié)果，分析防御方的優(yōu)勢和不足；
• 利用自然語言處理和LLM自動生成演練報告，包括演練過程、發(fā)現(xiàn)問題、改進建議等。
• 釣魚郵件生成，如根據(jù)用戶輸入的釣魚郵件主題，大模型自動生成對應內(nèi)容的釣魚郵件，滿足不同場景下的釣魚需求，并提供釣魚郵件所需要點，助力用戶提升撰寫釣魚郵件技巧。

智能化優(yōu)勢

• 更真實的模擬場景：更真實的場景，模擬更復雜，提高演練的效果；
• 更高效地演練：自動化執(zhí)行演練，減少人力和時間投入；
• 更可重復的演練：可以多次重復執(zhí)行演練，增強不同防御策略的效果；
• 更全面地評估：全面評估安全團隊的應急響應能力和安全防御水平。

2.數(shù)據(jù)安全

企業(yè)普遍面臨數(shù)據(jù)資產(chǎn)模糊、數(shù)據(jù)識別敏感不準、數(shù)據(jù)訪問權(quán)限混亂、數(shù)據(jù)流動不可視、數(shù)據(jù)安全風險難以評估等問題。

智能化應用賦能

• 智能化數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)：利用AI智能體自動發(fā)現(xiàn)和識別企業(yè)內(nèi)部外部的各種數(shù)據(jù)資產(chǎn)，包括云端數(shù)據(jù)庫、本地數(shù)據(jù)庫、文件服務(wù)器、SaaS應用、終端設(shè)備等，并識別數(shù)據(jù)類型、數(shù)據(jù)格式等；
• 標記數(shù)據(jù)分類分級：利用自然語言處理、機器學習等技術(shù)，自動識別和分類敏感數(shù)據(jù)，例如個人身份信息（PII）、財務(wù)、知識產(chǎn)權(quán)、商業(yè)機密等，并根據(jù)數(shù)據(jù)的敏感程度進行分級；
• 數(shù)據(jù)訪問權(quán)限梳理：自動化分析和整理數(shù)據(jù)訪問權(quán)限配置，識別權(quán)限過大、權(quán)限中斷、權(quán)限沖突等問題。AI智能體可以通過解析IAM系統(tǒng)、數(shù)據(jù)庫配置等信息，自動構(gòu)建數(shù)據(jù)訪問權(quán)限圖譜；
• 數(shù)據(jù)流自動發(fā)現(xiàn)：結(jié)合NDR和機器學習技術(shù)，自動發(fā)現(xiàn)和異構(gòu)數(shù)據(jù)流地圖，展示數(shù)據(jù)在不同系統(tǒng)、不同用戶之間的流動情況，并識別異常的數(shù)據(jù)流動行為；
• 人工智能驅(qū)動的風險評估：利用人工智能模型（如風險評估模型、異常檢測模型）對數(shù)據(jù)資產(chǎn)的安全風險進行評估，并識別高風險的數(shù)據(jù)資產(chǎn)；
• 智能化安全策略：AI智能體可以根據(jù)數(shù)據(jù)配置的分類分級結(jié)果和風險評估結(jié)果，自動生成或優(yōu)化數(shù)據(jù)安全策略，例如數(shù)據(jù)訪問控制策略、數(shù)據(jù)加密策略、數(shù)據(jù)脫敏策略等；
• 持續(xù)監(jiān)控與動態(tài)調(diào)整：AI智能體持續(xù)監(jiān)控數(shù)據(jù)安全增量，并根據(jù)威脅情報、安全事件、用戶行為等信息，動態(tài)調(diào)整數(shù)據(jù)安全策略。

智能化優(yōu)勢

• 全面性：更全面地發(fā)現(xiàn)和識別數(shù)據(jù)資產(chǎn)，覆蓋各種類型和位置的數(shù)據(jù)；
• 準確性：更準確地識別和分類敏感數(shù)據(jù)，減少人工標記的錯誤和遺漏；
• 實時性：實時監(jiān)控數(shù)據(jù)訪問和流動情況，及時發(fā)現(xiàn)數(shù)據(jù)安全風險；
• 自動化：自動化執(zhí)行數(shù)據(jù)安全裝載的各個部分，提高效率，降低成本；
• 可視化：以可視化的方式展示數(shù)據(jù)安全現(xiàn)狀，幫助安全團隊更好地了解數(shù)據(jù)安全狀況。

3.合規(guī)評估

企業(yè)需要遵守各種安全法規(guī)、行業(yè)標準和內(nèi)部策略，企業(yè)需要及時了解和適應這些變化ISOC可以幫助企業(yè)實現(xiàn)合規(guī)評估的自動化、定制化和持續(xù)化，從而提高合規(guī)性管理的效率和效果，降低合規(guī)風險。AI智能體在其中扮演著重要的角色，它自動化地執(zhí)行合規(guī)評估的各個環(huán)節(jié)，并提供定制的決策支持。

智能化應用賦能：

• 利用NLP技術(shù)，自動獲取和解析各種安全法規(guī)、行業(yè)標準和內(nèi)部策略文檔，提取出關(guān)鍵的合規(guī)要求，將提取出的合規(guī)要求轉(zhuǎn)化為機器可理解的格式，例如構(gòu)造數(shù)據(jù)表或知識圖譜。例如，AI智能體自動解析數(shù)據(jù)安全的文本，提取出與安全相關(guān)的條款，例如加密、數(shù)據(jù)訪問控制、數(shù)據(jù)泄露相關(guān)數(shù)據(jù)通知等要求；
• AI智能體自動調(diào)用安全使用工具或腳本，對企業(yè)的IT系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進行安全配置檢查。將檢查結(jié)果與提取出的合規(guī)要求進行比較，自動識別出不符合要求的配置項。例如：檢查數(shù)據(jù)庫服務(wù)器是否開啟審計功能。檢查防火墻規(guī)則是否足夠多。檢查用戶賬號的密碼是否符合復雜度要求。檢查終端是否安裝防病毒軟件，并且病毒庫是否為最新；
• 基于知識圖譜的合規(guī)性評估：構(gòu)建安全合規(guī)知識圖譜，將安全法規(guī)、行業(yè)標準、企業(yè)內(nèi)部策略、IT資產(chǎn)、安全配置等信息關(guān)聯(lián)起來。利用圖譜和規(guī)則引擎，對企業(yè)的安全合規(guī)性進行評估，并識別出不符合要求的項。例如，判斷某個系統(tǒng)是否滿足等級保護三級的要求；判斷某個業(yè)務(wù)流程是否符合數(shù)據(jù)安全的要求；
• 自動化合規(guī)生成報告：AI智能體根據(jù)合規(guī)檢查和評估的結(jié)果，自動生成合規(guī)報告，包括檢查的范圍、發(fā)現(xiàn)的問題、整改建議等。

智能化優(yōu)勢：

• 提高效率：自動化執(zhí)行合規(guī)性檢查和評估任務(wù)，極大地提高工作效率；
• 降低成本：減少人工檢查的工作量，降低合規(guī)成本；
• 提升準確性：減少人為錯誤，提高合規(guī)性檢查的準確性和一致性；
• 全面覆蓋：可以對企業(yè)的IT系統(tǒng)和安全措施進行更全面的合規(guī)性檢查，避免遺漏；
• 及時更新：能夠及時跟蹤安全法規(guī)和標準的變化，并更新合規(guī)性檢查規(guī)則；
• 持續(xù)監(jiān)控：可以持續(xù)監(jiān)控企業(yè)的合規(guī)狀態(tài)，及時發(fā)現(xiàn)和整改不符合要求的項目。

五、知識問答和專家輔助

威脅告警研判需要一定的安全知識和專家經(jīng)驗，傳統(tǒng)SOC主要依賴人員專家的分析，往往面臨專家短缺的困難，運用安全專業(yè)知識增強大語言模型，從而形成針對安全領(lǐng)域的智能問答推理、問題解決和決策支持的專業(yè)能力。如利用算法提取相關(guān)特征，如網(wǎng)絡(luò)流量特征、系統(tǒng)調(diào)用序列、API調(diào)用序列等，使用標注數(shù)據(jù)訓練深度學習/機器學習模型，并利用訓練好的模型實時分析安全數(shù)據(jù)，檢測威脅，應用于提高對流量、日志中的異常檢測和分析能力。

圖片

ISOC可以利用智能體提供專業(yè)的安全知識，通過自然語言交互問答方式輔助分析師，獲取安全專業(yè)知識和系統(tǒng)業(yè)務(wù)數(shù)據(jù)以及圍繞安全運營、安全運維相關(guān)的措施手段，如推薦研判方法，提供詳細的相關(guān)資料，并生成實時的安全建議和指導方案支持專家的判斷等。

知識問答和專家輔助智能體

智能化賦能

• 機器學習算法和人工智能模型。通過對大量歷史安全數(shù)據(jù)的學習，建立正常網(wǎng)絡(luò)行為模型，當出現(xiàn)與模型不符的異常行為時，立即發(fā)出警報，提高威脅檢測的及時性和準確性；
• 利用AI技術(shù)對告警進行深度分析，利用專家經(jīng)驗模型和人工智能算法，對告警進行分類和篩選，根據(jù)告警的特征、來源、關(guān)聯(lián)關(guān)系等因素，判斷告警的重要性和真實性。

智能化優(yōu)勢

• 輔助識別潛在威脅。對采集到的數(shù)據(jù)進行實時分析，快速準確地識別出潛在威脅，減少人工干預。將安全運營人員從海量告警中解放出來，聚焦關(guān)鍵威脅。