安全运营中的人工智能（C）.pdfVIP

安全运营中的人工智能|老烦的草根安全观

Spotlight

安全运营中的人工智能

作者：马克·奥兰多

2024年7月

编译老烦的草根安全观

2025年1月26日

1

安全运营中的人工智能|老烦的草根安全观

介绍

直到现在人工智能（AI）可以改变安全操作，消除对人工驱动的手动任务的需求

还只是一个模糊的承诺。但最近在协作自动化方面的创新有可能对SOC产生真正

的变化。为了充分利用这一创新，我们必须首先了解人工智能、实施不当的风险

以及为SOC团队带来最大价值的用例。本文将描述一个功能模型，我们可以用它

来描述关键的SOC能力，使用常见的SOC工具提供这些能力的挑战，以及人工智

能可以给SOC工作流程带来转型变革的方式。

SOC功能与技术

团队结构、内部流程和工具可能因独特的组织要求而异，但无论行业或组织如何，

核心SOC功能都是一致的。如图1所示，这些功能是：

⚫收集，收集、组织和存储对调查、警报和合规具有价值的企业数据

⚫检测，将智能应用于环境数据以识别感兴趣的事件

⚫分类和调查，对警报进行优先级排序和分析，以确定对组织的潜在影响

⚫响应，对事件进行范围界定、控制和补救

威胁情报

初步检查/调

收集检测响应

查

环境数据

图1.SOC核心功能

用于这些功能的产品也各不相同，但通常包括：

⚫攻击面管理（ASM），用于持续发现、分析、修复和监控漏洞和潜在攻击媒介

⚫端点检测和响应（EDR），以保护端点免受网络攻击，检测异常行为，并近乎

实时地修复威胁

2

安全运营中的人工智能|老烦的草根安全观

⚫安全信息和事件管理（SIEM），用于在单个平台中分析各种数据源类型和安

全工具

⚫安全编排、自动化和响应（SOAR），以标准化和自动化事件响应工作流程

熟练的员工使用正确的技术可以做伟大的事情。挑战在于如何在有限的时间和资

源下，持续、大规模地这样做。

安全运营挑战

当时间和专业知识供应有限时，即使是成熟的SOC团队也难以保持容量、质量和

一致性。安全运营中的一些最重大挑战是：

⚫大规模的专业知识——有幸找到、雇佣和留住有才华的SOC员工的安全经理

仍然面临着跨时间（轮班）、地域和具有不同专业和经验的个人扩展这些技

能的挑战。即使在经验丰富的团队中，当准确性和速度往往至关重要时，决

策中的偏见和不一致也会导致质量问题和延误。

⚫透明度——衡量和持续改进是跨领域的功能，应用于所有核心SOC功能，而

不仅仅是事件响应。这项工作通常需要将复杂的概念和调查提炼成简化的非

技术术语。在许多情况下，必须在调查期间实时完成。收集衡量业务流程或

为技术数据添加上下文所需的数据通常会阻碍检测和响应工作，从而难以管

理SOC性能。

⚫容量——SOC团队消耗的警报和遥测数据量不断增长，再加上重复和手动工

作流程，使大多数团队远远超过了可用容量。这种持续的不平等会导致倦怠、

警觉疲劳和关键错误，如偏见、事件中止、过早结案和假阴性（误判导致错

过的威胁）。

⚫专注——当面临上述挑战时，分析师很难决定在哪里花时间最好，这会导致

不一致、浪