AI安全助手重塑SOC运作方式

随着微软六个新的安全AI安全副驾驶的推出，越来越多人意识到AI安全助手在安全运营中心（SOC）的助手重塑作方价值
。这些工具正在重塑SOC的安全运作方式，使安全团队能够更快、助手重塑作方更准确地应对威胁。安全

解决SOC团队痛点

在当今网络安全领域 ，助手重塑作方安全运营中心（SOC）面临着双重挑战：一方面是安全海量告警信息的持续涌入  
，另一方面是助手重塑作方专业人才的严重短缺 。随着AI安全助手技术的免费模板安全快速发展，这些问题正在得到有效缓解  。助手重塑作方

多系统切换集成在当今许多 SOC 中仍然存在 ，安全这虽然节省了软件成本 ，助手重塑作方但却使最优秀的安全分析师和领导者精疲力竭
。

有数据显示，助手重塑作方超过70%的安全SOC 分析师表示他们已经倦怠 ，66%报告说他们一半的工作重复性足以被自动化。此外 ，近三分之二计划在 2025 年前转换岗位 ，利用 AI 加速SOC 自动化的进程已经不可逆转。

随着更多组织面临保持 SOC 高效运行并配备足够人员以遏制威胁的云计算挑战 ，AI 安全助手备受关注
。最新一代 AI 安全助手不仅加速响应 ，还在培训和留住员工方面证明了其不可或缺的作用，消除了机械性、常规性工作 ，同时为 SOC 分析师创造了学习和获得更多收入的新机会。

新一代AI安全助手已经超越了简单的聊天界面，发展为能够实时修复
、自动执行策略并跨云、终端和网络领域进行集成分类的代理型AI系统
。它们专为整合到SIEM
 、服务器租用SOAR和XDR流程而设计，为SOC带来了显著的性能提升
。

微软最新推出的六个安全副驾驶代理
，包括用于钓鱼分类 、内部风险 、条件访问、漏洞修复和威胁情报的代理 ，以及五个合作伙伴构建的代理，旨在帮助安全团队处理高频率
、重复性的任务
，从而让安全团队专注于更复杂的源码库网络威胁和主动安全措施。

人机协作而非替代

尽管AI安全助手功能强大
，但安全领域的专家都强调使用 AI 来增强和加强 SOC 团队的技能，而不是用助手替代人员。

CrowdStrike创始人兼CEO George Kurtz指出
："这意味着你可以将一级分析师转变为三级分析师 
，可以将8小时的日常工作转变为10分钟。"

Ivanti 首席信息官 Robert Grazioli 强调，AI安全助手不是消除人为因素，而是用 AI 助手赋能人类 ，减少重复性任务，建站模板并让分析师专注于复杂威胁。他补充说："分析师倦怠是由重复性任务和持续涌入的低保真度告警引起的 。AI 助手能够过滤这些噪音 ，让专家处理最棘手的问题。"Ivanti 的研究发现 ，采用 AI 分类的组织可以将误报减少高达70%。

WinWire首席技术官 Vineet Arora 持相同观点。他表示，AI将作为人类分析师的力量倍增器
，模板下载而非替代品
。例如 ，AI 可以处理初始告警分类和对安全问题的常规响应 ，使分析师能够将专业知识集中在复杂威胁和战略性工作上。因此他认为 ，人类团队应该保持对 AI 系统的监督
，同时利用它们减少日常工作量。

Palo Alto Networks创始人兼首席技术官Nir Zuk表示 
："我们的AI驱动平台不是要将分析师从流程中移除；它们统一了SOC工作流程 ，使分析师能够更具战略性地完成工作 
。"

思科安全与协作执行副总裁兼总经理Jeetu Patel指出："AI的真正价值在于它如何缩小网络安全人才差距 ，而不是通过自动化让分析师出局，而是使他们的效率呈指数级提高。"

CrowdStrike首席技术官Elia Zaitsev警告说
 ，专注于完全替代人类专业人员而非与他们合作是一种误导性策略。AI驱动工具应被视为人类的协作伙伴，这一概念在网络安全领域尤为重要。

七个主要应用场景

AI安全助手在SOC中的应用正在快速扩展，以下是当前主要的应用场景：

1.加速告警分类

使用Microsoft 安全副驾驶和Charlotte AI等助手的一级分析师可以将分类时间从数小时缩短到几分钟
。这得益于预训练模型，这些模型可以标记已知的战术、技术和程序（TTP）
，交叉引用威胁情报，并附带可信度评分提供分析结果。

2.告警去重和干扰过滤

Observo Orion和Trellix WISE等产品使用上下文过滤关联多源遥测，消除低优先级噪音 ，将告警疲劳减少多达70%，使团队能够专注于高保真信号。Sophos XDR AI Assistant为拥有较小团队的中型SOC实现了类似的结果。

3.策略执行和防火墙调优

Cisco AI Assistant和Palo Alto的Cortex助手能够根据遥测阈值和异常检测动态建议并自动实施策略变更，这对于具有复杂、分布式防火墙拓扑和零信任授权的SOC尤为重要。

4. 跨域威胁关联

微软安全副驾驶SentinelOne Purple AI 集成身份遥测、 SIEM 日志和终端数据，以检测横向移动、权限提升或可疑的多跳活动。分析师接收上下文剧本，减少超过 40%的根本原因分析 。

5.暴露验证和入侵模拟

Cymulate AI Copilot模拟红队逻辑并测试针对新CVE的暴露，使SOC能够主动验证控制 ，将手动验证步骤替换为集成到SOAR工作流程中的自动化姿态测试。

6.自然语言SIEM交互

Exabeam Copilot和Splunk AI Assistant允许分析师将自然语言查询转换为可执行的SIEM命令 ，使调查能力民主化，特别是对于技术性较低的人员 ，并减少对深度查询语言知识的依赖。

7.身份风险降低

Oleria Copilot持续扫描休眠账户
、过度访问权限和未链接的权限，自动生成清理计划并执行最小权限策略，帮助减少混合环境中的内部威胁面
。

将海量数据转化为洞察

当前，SOC 不断被数据淹没
，这些数据主要来自终端日志、防火墙事件日志 、身份变更通知和日志
。AI安全助手能够轻松盘活这些数据，从噪音中分离出重要信号，提高 SOC 团队的准确性
、洞察力和响应速度 。

如此
，SOC 团队不再被告警淹没
，而是响应可自动分类的优先级 、高保真度事件。

据悉，CrowdStrike 的Charlotte AI 每天从 Falcon 平台处理超过 1万亿高保真信号
 ，并基于数百万个真实分析师决策进行训练
。它自主分类终端检测，与人类专家的一致性超过 98% ，每周为团队平均节省 40 多小时的手动工作
。

Microsoft 安全副驾驶客户报告称，在调查和响应 、威胁搜寻和威胁情报评估等基础任务上，节省了安全分析师高达 40%的时间。在准备报告或排除小问题等更平凡的任务上，安全副驾驶提供的效率提升高达 60%以上。

AI安全助手的最终目标不仅仅是智能、提示驱动的个人编程助手；而是跨SOC工作流程集成AI驱动的决策制定 。未来的AI安全助手将更加自主 ，能够在更广泛的安全领域中做出决策并采取行动。

通过整合身份 、终端和网络遥测，AI安全助手将减少识别横向移动和权限提升所需的时间
，这是攻击链中最危险的两个阶段
。它们不仅加速响应，还在培训和留住员工方面发挥着关键作用 
，消除了机械性工作，同时为SOC分析师创造了学习和职业发展的新机会。

随着网络威胁的不断演变和安全人才缺口的持续存在  ，AI安全助手将在未来的SOC中扮演越来越重要的角色 ，帮助组织在资源有限的情况下维持高效的安全运营
。通过减少误报、自动化常规任务和提供更深入的威胁洞察，AI安全助手正在成为现代SOC不可或缺的组成部分。