隨著微軟六個(gè)新的AI安全副駕駛的推出，越來(lái)越多人意識(shí)到AI安全助手在安全運(yùn)營(yíng)中心（SOC）的價(jià)值。這些工具正在重塑SOC的運(yùn)作方式，使安全團(tuán)隊(duì)能夠更快、更準(zhǔn)確地應(yīng)對(duì)威脅。

解決SOC團(tuán)隊(duì)痛點(diǎn)

在當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域，安全運(yùn)營(yíng)中心（SOC）面臨著雙重挑戰(zhàn)：一方面是海量告警信息的持續(xù)涌入，另一方面是專業(yè)人才的嚴(yán)重短缺。隨著AI安全助手技術(shù)的快速發(fā)展，這些問(wèn)題正在得到有效緩解。

多系統(tǒng)切換集成在當(dāng)今許多 SOC 中仍然存在，這雖然節(jié)省了軟件成本，但卻使最優(yōu)秀的分析師和領(lǐng)導(dǎo)者精疲力竭。

有數(shù)據(jù)顯示，超過(guò)70%的SOC 分析師表示他們已經(jīng)倦怠，66%報(bào)告說(shuō)他們一半的工作重復(fù)性足以被自動(dòng)化。此外，近三分之二計(jì)劃在 2025 年前轉(zhuǎn)換崗位，利用 AI 加速SOC 自動(dòng)化的進(jìn)程已經(jīng)不可逆轉(zhuǎn)。

隨著更多組織面臨保持 SOC 高效運(yùn)行并配備足夠人員以遏制威脅的挑戰(zhàn)，AI 安全助手備受關(guān)注。最新一代 AI 安全助手不僅加速響應(yīng)，還在培訓(xùn)和留住員工方面證明了其不可或缺的作用，消除了機(jī)械性、常規(guī)性工作，同時(shí)為 SOC 分析師創(chuàng)造了學(xué)習(xí)和獲得更多收入的新機(jī)會(huì)。

新一代AI安全助手已經(jīng)超越了簡(jiǎn)單的聊天界面，發(fā)展為能夠?qū)崟r(shí)修復(fù)、自動(dòng)執(zhí)行策略并跨云、終端和網(wǎng)絡(luò)領(lǐng)域進(jìn)行集成分類的代理型AI系統(tǒng)。它們專為整合到SIEM、SOAR和XDR流程而設(shè)計(jì)，為SOC帶來(lái)了顯著的性能提升。

微軟最新推出的六個(gè)安全副駕駛代理，包括用于釣魚分類、內(nèi)部風(fēng)險(xiǎn)、條件訪問(wèn)、漏洞修復(fù)和威脅情報(bào)的代理，以及五個(gè)合作伙伴構(gòu)建的代理，旨在幫助安全團(tuán)隊(duì)處理高頻率、重復(fù)性的任務(wù)，從而讓安全團(tuán)隊(duì)專注于更復(fù)雜的網(wǎng)絡(luò)威脅和主動(dòng)安全措施。

人機(jī)協(xié)作而非替代

盡管AI安全助手功能強(qiáng)大，但安全領(lǐng)域的專家都強(qiáng)調(diào)使用 AI 來(lái)增強(qiáng)和加強(qiáng) SOC 團(tuán)隊(duì)的技能，而不是用助手替代人員。

CrowdStrike創(chuàng)始人兼CEO George Kurtz指出："這意味著你可以將一級(jí)分析師轉(zhuǎn)變?yōu)槿?jí)分析師，可以將8小時(shí)的日常工作轉(zhuǎn)變?yōu)?0分鐘。"

Ivanti 首席信息官 Robert Grazioli 強(qiáng)調(diào)，AI安全助手不是消除人為因素，而是用 AI 助手賦能人類，減少重復(fù)性任務(wù)，并讓分析師專注于復(fù)雜威脅。他補(bǔ)充說(shuō)："分析師倦怠是由重復(fù)性任務(wù)和持續(xù)涌入的低保真度告警引起的。AI 助手能夠過(guò)濾這些噪音，讓專家處理最棘手的問(wèn)題。"Ivanti 的研究發(fā)現(xiàn)，采用 AI 分類的組織可以將誤報(bào)減少高達(dá)70%。

WinWire首席技術(shù)官 Vineet Arora 持相同觀點(diǎn)。他表示，AI將作為人類分析師的力量倍增器，而非替代品。例如，AI 可以處理初始告警分類和對(duì)安全問(wèn)題的常規(guī)響應(yīng)，使分析師能夠?qū)I(yè)知識(shí)集中在復(fù)雜威脅和戰(zhàn)略性工作上。因此他認(rèn)為，人類團(tuán)隊(duì)?wèi)?yīng)該保持對(duì) AI 系統(tǒng)的監(jiān)督，同時(shí)利用它們減少日常工作量。

Palo Alto Networks創(chuàng)始人兼首席技術(shù)官Nir Zuk表示："我們的AI驅(qū)動(dòng)平臺(tái)不是要將分析師從流程中移除；它們統(tǒng)一了SOC工作流程，使分析師能夠更具戰(zhàn)略性地完成工作。"

思科安全與協(xié)作執(zhí)行副總裁兼總經(jīng)理Jeetu Patel指出："AI的真正價(jià)值在于它如何縮小網(wǎng)絡(luò)安全人才差距，而不是通過(guò)自動(dòng)化讓分析師出局，而是使他們的效率呈指數(shù)級(jí)提高。"

CrowdStrike首席技術(shù)官Elia Zaitsev警告說(shuō)，專注于完全替代人類專業(yè)人員而非與他們合作是一種誤導(dǎo)性策略。AI驅(qū)動(dòng)工具應(yīng)被視為人類的協(xié)作伙伴，這一概念在網(wǎng)絡(luò)安全領(lǐng)域尤為重要。

七個(gè)主要應(yīng)用場(chǎng)景

AI安全助手在SOC中的應(yīng)用正在快速擴(kuò)展，以下是當(dāng)前主要的應(yīng)用場(chǎng)景：

1.加速告警分類

使用Microsoft 安全副駕駛和Charlotte AI等助手的一級(jí)分析師可以將分類時(shí)間從數(shù)小時(shí)縮短到幾分鐘。這得益于預(yù)訓(xùn)練模型，這些模型可以標(biāo)記已知的戰(zhàn)術(shù)、技術(shù)和程序（TTP），交叉引用威脅情報(bào)，并附帶可信度評(píng)分提供分析結(jié)果。

2.告警去重和干擾過(guò)濾

Observo Orion和Trellix WISE等產(chǎn)品使用上下文過(guò)濾關(guān)聯(lián)多源遙測(cè)，消除低優(yōu)先級(jí)噪音，將告警疲勞減少多達(dá)70%，使團(tuán)隊(duì)能夠?qū)Ｗ⒂诟弑Ｕ嫘盘?hào)。Sophos XDR AI Assistant為擁有較小團(tuán)隊(duì)的中型SOC實(shí)現(xiàn)了類似的結(jié)果。

3.策略執(zhí)行和防火墻調(diào)優(yōu)

Cisco AI Assistant和Palo Alto的Cortex助手能夠根據(jù)遙測(cè)閾值和異常檢測(cè)動(dòng)態(tài)建議并自動(dòng)實(shí)施策略變更，這對(duì)于具有復(fù)雜、分布式防火墻拓?fù)浜土阈湃问跈?quán)的SOC尤為重要。

4. 跨域威脅關(guān)聯(lián)

微軟安全副駕駛SentinelOne Purple AI 集成身份遙測(cè)、 SIEM 日志和終端數(shù)據(jù)，以檢測(cè)橫向移動(dòng)、權(quán)限提升或可疑的多跳活動(dòng)。分析師接收上下文劇本，減少超過(guò) 40%的根本原因分析。

5.暴露驗(yàn)證和入侵模擬

Cymulate AI Copilot模擬紅隊(duì)邏輯并測(cè)試針對(duì)新CVE的暴露，使SOC能夠主動(dòng)驗(yàn)證控制，將手動(dòng)驗(yàn)證步驟替換為集成到SOAR工作流程中的自動(dòng)化姿態(tài)測(cè)試。

6.自然語(yǔ)言SIEM交互

Exabeam Copilot和Splunk AI Assistant允許分析師將自然語(yǔ)言查詢轉(zhuǎn)換為可執(zhí)行的SIEM命令，使調(diào)查能力民主化，特別是對(duì)于技術(shù)性較低的人員，并減少對(duì)深度查詢語(yǔ)言知識(shí)的依賴。

7.身份風(fēng)險(xiǎn)降低

Oleria Copilot持續(xù)掃描休眠賬戶、過(guò)度訪問(wèn)權(quán)限和未鏈接的權(quán)限，自動(dòng)生成清理計(jì)劃并執(zhí)行最小權(quán)限策略，幫助減少混合環(huán)境中的內(nèi)部威脅面。

將海量數(shù)據(jù)轉(zhuǎn)化為洞察

當(dāng)前，SOC 不斷被數(shù)據(jù)淹沒(méi)，這些數(shù)據(jù)主要來(lái)自終端日志、防火墻事件日志、身份變更通知和日志。AI安全助手能夠輕松盤活這些數(shù)據(jù)，從噪音中分離出重要信號(hào)，提高 SOC 團(tuán)隊(duì)的準(zhǔn)確性、洞察力和響應(yīng)速度。

如此，SOC 團(tuán)隊(duì)不再被告警淹沒(méi)，而是響應(yīng)可自動(dòng)分類的優(yōu)先級(jí)、高保真度事件。

據(jù)悉，CrowdStrike 的Charlotte AI 每天從 Falcon 平臺(tái)處理超過(guò) 1萬(wàn)億高保真信號(hào)，并基于數(shù)百萬(wàn)個(gè)真實(shí)分析師決策進(jìn)行訓(xùn)練。它自主分類終端檢測(cè)，與人類專家的一致性超過(guò) 98%，每周為團(tuán)隊(duì)平均節(jié)省 40 多小時(shí)的手動(dòng)工作。

Microsoft 安全副駕駛客戶報(bào)告稱，在調(diào)查和響應(yīng)、威脅搜尋和威脅情報(bào)評(píng)估等基礎(chǔ)任務(wù)上，節(jié)省了安全分析師高達(dá) 40%的時(shí)間。在準(zhǔn)備報(bào)告或排除小問(wèn)題等更平凡的任務(wù)上，安全副駕駛提供的效率提升高達(dá) 60%以上。

AI安全助手的最終目標(biāo)不僅僅是智能、提示驅(qū)動(dòng)的個(gè)人編程助手；而是跨SOC工作流程集成AI驅(qū)動(dòng)的決策制定。未來(lái)的AI安全助手將更加自主，能夠在更廣泛的安全領(lǐng)域中做出決策并采取行動(dòng)。

通過(guò)整合身份、終端和網(wǎng)絡(luò)遙測(cè)，AI安全助手將減少識(shí)別橫向移動(dòng)和權(quán)限提升所需的時(shí)間，這是攻擊鏈中最危險(xiǎn)的兩個(gè)階段。它們不僅加速響應(yīng)，還在培訓(xùn)和留住員工方面發(fā)揮著關(guān)鍵作用，消除了機(jī)械性工作，同時(shí)為SOC分析師創(chuàng)造了學(xué)習(xí)和職業(yè)發(fā)展的新機(jī)會(huì)。

隨著網(wǎng)絡(luò)威脅的不斷演變和安全人才缺口的持續(xù)存在，AI安全助手將在未來(lái)的SOC中扮演越來(lái)越重要的角色，幫助組織在資源有限的情況下維持高效的安全運(yùn)營(yíng)。通過(guò)減少誤報(bào)、自動(dòng)化常規(guī)任務(wù)和提供更深入的威脅洞察，AI安全助手正在成為現(xiàn)代SOC不可或缺的組成部分。