AI Agent重构SOC:下一代智能安全运营平台的能力跃迁
当前的网络安全威胁复杂多变,攻击者手法日益精密。传统的安全运营中心(SOC)在面对海量告警、碎片化信息和不断加剧的技能鸿沟时,正承受着前所未有的压力。告警疲劳、响应延迟、误报误判、人才缺乏已成为常态,影响了安全防御的有效性。
在与我们用户一同建设SOC的过程中,我们也意识到,SOC的未来不在于简单地增加人力或堆叠工具,而在于引入真正的“智能”。这股智能变革的核心,我们认为正是AI Agent——一种具备安全场景理解、推理、决策、执行能力的AI驱动安全助手。而随着如DeepSeek等LLM的出现,进一步推动了AI普惠,AI Agent也并非遥不可及的概念,对于日志易而言,它也在逐步融入日志易的SIEM、SOC、UEBA和SOAR等产品,驱动着下一代智能安全运营实现能力跃迁。
一、 技术架构革新:从“规则驱动”到“认知驱动”
传统的安全分析严重依赖预设规则、特征和静态检测逻辑。这种“规则驱动”模式在面对未知或变异威胁时显得力不从心。AI Agent的引入,正在将这一模式彻底转向基于深度理解和推理的“认知驱动”。
1.态认知引擎:模拟人类思维链,实现威胁的深度理解
动态认知引擎:模拟人类思维链,深度理解威胁。AI Agent架构的核心在于其动态认知引擎。我们将大型语言模型(LLM)作为其“大脑”,赋予Agent强大的自然语言理解、推理和知识整合能力。借鉴先进Agent框架的角色分工理念,日志易在SOC中部署了不同职能的AI Agent,例如:
分析Agent:利用LLM对感知到的异常事件进行深度分析,模拟安全专家的“思维链”(Chain of Thought),从海量日志和流量中抽丝剥茧,理解攻击意图和技术手法;
规划Agent:根据分析结果,制定最优的响应计划;
执行Agent:利用日志易SOAR联动各种安全工具和平台执行规划好的动作。
这种Agent之间的协作与LLM的推理能力相结合,实现了威胁分析的“人类安全分析师思维链模拟”,远非传统规则匹配可比。相较于仅执行固定流程的传统RPA,这种方式具备动态决策和适应性。当遇到规则库中未定义的异常时,AI Agent能基于其认知能力和上下文信息,自主判断、调整策略甚至生成新的处理流程,极大地提高了未知威胁的应对能力。目前日志易也实现对网络侧与端点侧告警的智能研判,更深入的场景也在持续验证中。
2.多维度感知能力:构建全景式安全上下文
多维度感知能力:构建全景式安全上下文。有效的安全分析离不开全面的信息感知。日志易的AI Agent具备强大的多模态感知能力,能够无缝整合来自网络流量、安全日志、终端行为、身份认证记录、威胁情报等多源异构数据。
通过“感知-规划-行动”的闭环,AI Agent能够实时汇聚这些信息,构建完整的安全上下文。通过Context Memory功能进行管理。例如,当检测到一处异常网络连接时,Agent不会孤立地看待它,而是会关联该IP的威胁情报、涉及终端的用户行为、该终端的历史活动模式等,通过UEBA模块形成一个多维度的安全画像,判断其真实风险。这种能力确保了分析的深度和准确性。作为上下文,通过提示工程以及RAG后,提供给LLM进行整体分析。
3.自进化防御体系:基于实战的持续优化
自进化防御体系:基于实战的持续优化。安全攻防是动态对抗的过程。日志易的AI Agent体系并非一成不变,而是具备自进化能力。我们基于强化学习机制,让Agent从每一次威胁事件的处理中学习和优化。例如,Agent执行某个响应动作后,会评估其有效性(是否成功阻止攻击、是否产生副作用),并将反馈用于调整其内部决策模型和策略。
通过持续吸收最新的攻击样本、手法数据以及实际处置结果,结合对先进大型模型的利用,AI Agent能够动态更新其检测模型和响应策略,使防御体系能够主动适应攻击者的变化,从被动响应转向主动防御。
二、 场景化能力突破:AI Agent给安全运营Tier 1~Tier 3带来的价值
目前看AI Agent的智能并非浮于表面,而是深入SOC的各个关键场景,覆盖Tier 1~Tier 3的主要场景,带来了“安全运营能力重构”的价值提升:
1.智能警报分流:告别告警疲劳,聚焦高价值事件
智能警报分流:告别告警疲劳,聚焦高价值事件。告警疲劳是困扰SOC的最大痛点之一。日志易的AI Agent在此场景中扮演了高效的Triage Agent(告警分诊)角色,实现了告警处理的全自动化和智能化:
智能分组与去重:Agent能够理解不同告警之间的关联性(使用日志易SIEM中的Graph溯源分析模块),将源于同一攻击链或同一根源的告警进行智能分组与高效去重,大幅减少需要人工处理的告警数量,并做初步的解读;
自动化增强:对于分组后的告警,Agent会自动调用日志易平台内的威胁情报接口进行IOC(失陷指标)匹配、关联UEBA数据进行资产画像和行为分析。这种自动化增强提供了丰富的上下文信息,帮助Agent和分析师快速判断事件的优先级和真实性;
降低误报率:通过多模态感知和深入上下文分析,Triage Agent能更准确地区分恶意行为与正常活动,显著降低误报率。
对比传统SOC完全依赖人工或简单规则进行分诊的低效模式,日志易AI Agent的分流能力带来了较大的效率提升。最近的AI技术在特定安全任务中已展现出较高的效能,日志易将这种能力应用于SOC分诊,大幅缩短了原本耗费大量人工的警报处理时间,让人类安全分析师得以将精力集中在真正高价值、需要深度分析和决策的复杂事件上。
2.自动化威胁狩猎:让隐匿威胁无处遁形
自动化威胁狩猎:让隐匿威胁无处遁形。先进的攻击者往往采用隐蔽技术,绕过传统检测机制。威胁狩猎旨在主动发现这些未知或潜伏的威胁,但这通常需要经验丰富的专家耗费大量时间精力。日志易AI Agent以威胁狩猎代理的形式,实现了自动化和常态化的威胁狩猎:
基于ChatSPL的多轮安全分析:在日常安全运营或攻防对抗中,安全分析师的主观洞察和探索性分析不可或缺。为了赋能安全分析师更高效地进行主动狩猎,利用日志易灵活的SPL(Search Processing Language)对安全数据进行分析,日志易AI Agent支持安全分析师使用自然语言与SIEM平台进行交互,提出安全数据分析和威胁狩猎相关的查询请求。底层的AI Agent能够理解这些自然语言意图,并将其智能地转化为高效的SPL查询语句或其他必要的系统指令,从而实现对海量安全数据的快速检索、关联和分析。安全狩猎往往是一个迭代和探索的过程,分析师会根据初步结果不断调整思路、提出更深入的问题。ChatSPL支持连续的对话交互:
NO.1 提出初步假设
分析师可以说:“帮我看看过去一周所有来自未知地理位置的登录失败事件。”
NO.2 基于结果再次下钻
基于返回结果,分析师可以继续:“只筛选出针对特权账号的尝试。”
NO.3 探索关联
接着问:“这些账号最近是否有异常的数据下载行为?”
NO.4 可视化和汇总
进一步要求:“把这些登录失败事件按来源IP进行统计,并生成一个柱状图。”
这种多轮对话模式极大地降低了分析师的认知负担,他们/她们可以将精力集中在“思考要找什么”、“如何验证假设”上,而不是纠结于查询语法。AI Agent在后台维护对话上下文,理解用户意图的演进,并智能地构建和优化后续查询。
基于已知威胁模式的关联分析:Agent持续分析历史日志和行为数据,自动识别与行业标准威胁模式,比如映射到TTP等相关的活动行为。最后,基于日志易SIEM的规则检测引擎,智能生成相关的检测规则,投入到实际的威胁检测中,释放安全分析师的大量配置开发精力,使安全分析师能聚集在洞察威胁,调查可疑安全事件,并优化基础检测规则的工作上;
跨域关联与模式识别:Agent能够关联不同数据源(网络、终端、日志)中的低信号事件,识别出人类安全分析师难以发现的、跨越多个环节的隐蔽攻击链;
主动探索异常:不同于响应已知告警,狩猎Agent会主动探索数据中的异常模式和未知行为,生成潜在的威胁假说并进行验证。
我们正进入一个“AI对抗AI”的时代。攻击者利用AI生成恶意内容、混淆攻击流量。防御者必须也采用AI才能有效对抗。自动化威胁狩猎Agent正是这一理念的体现,它也能力利用新兴的AI技术能力,通过模拟人类安全分析师分析思维或关联挖掘或意图理解,来识别各种隐匿手法。目前日志易在AI技术的实践应用也已在一些用户环境下,应对复杂对抗场景中证明了其价值。
3.智能响应编排:实现毫秒级响应,最小化攻击影响
智能响应编排:毫秒级响应,最小化攻击影响。快速、准确的响应是阻止攻击扩散、最小化损失的关键。日志易AI Agent与SOAR平台的深度集成,构建了智能响应编排能力,作为响应式AI Agents的蓝图正在落地:
动态响应规划:当AI Agent识别并确认威胁后,规划Agent会根据事件的类型、资产的重要性、潜在影响等因素,动态生成最佳响应方案。
自动化执行与编排:执行Agent通过日志易SOAR平台调用各种安全工具接口,自动化执行复杂的响应流程。这包括但不限于:自动生成命令隔离云主机、通过API更新防火墙规则阻断恶意IP、在端点安全平台隔离终端、发送指令重置用户密码、收集证据进行取证分析等。
提高效率与一致性:将响应过程自动化,消除了人工操作的延迟和潜在错误,确保了响应的快速性和一致性,显著降低了平均响应时间。
三、 未来展望
AI Agent正在以前所未有的力量重塑SOC。我们认为,它不是要取代人类安全专家,而是作为强大的智能副驾驶,极大地提高分析师的效率,自动化繁琐重复的任务,让威胁无所遁形,响应迅疾如风。日志易的SIEM、SOC、UEBA、SOAR产品目前也深度融合了AI Agent技术,希望能帮助我们的用户构建更高效、更智能、更具弹性的下一代安全运营体系。
目前日志易支持对接第三方LLM,如Qwen全系列、DeepSeek全系列等。如您希望更加深入了解,还请联系我们,了解日志易融合AI能力的产品版本。