隨著微軟六個新的AI安全副駕駛的推出，越來越多人意識到AI安全助手在安全運營中心(SOC)的價值。這些工具正在重塑SOC的運作方式，使安全團隊能夠更快、更準確地應對威脅。

　　解決SOC團隊痛點

　　在當今網絡安全領域，安全運營中心(SOC)面臨著雙重挑戰：一方面是海量告警信息的持續涌入，另一方面是專業人才的嚴重短缺。隨著AI安全助手技術的快速發展，這些問題正在得到有效緩解。

　　多系統切換集成在當今許多 SOC 中仍然存在，這雖然節省了軟件成本，但卻使最優秀的分析師和領導者精疲力竭。

　　有數據顯示，超過70%的SOC 分析師表示他們已經倦怠，66%報告說他們一半的工作重復性足以被自動化。此外，近三分之二計劃在 2025 年前轉換崗位，利用 AI 加速SOC 自動化的進程已經不可逆轉。

　　隨著更多組織面臨保持 SOC 高效運行并配備足夠人員以遏制威脅的挑戰，AI 安全助手備受關注。最新一代 AI 安全助手不僅加速響應，還在培訓和留住員工方面證明了其不可或缺的作用，消除了機械性、常規性工作，同時為 SOC 分析師創造了學習和獲得更多收入的新機會。

　　新一代AI安全助手已經超越了簡單的聊天界面，發展為能夠實時修復、自動執行策略并跨云、終端和網絡領域進行集成分類的代理型AI系統。它們專為整合到SIEM、SOAR和XDR流程而設計，為SOC帶來了顯著的性能提升。

　　微軟最新推出的六個安全副駕駛代理，包括用于釣魚分類、內部風險、條件訪問、漏洞修復和威脅情報的代理，以及五個合作伙伴構建的代理，旨在幫助安全團隊處理高頻率、重復性的任務，從而讓安全團隊專注于更復雜的網絡威脅和主動安全措施。

　　人機協作而非替代

　　盡管AI安全助手功能強大，但安全領域的專家都強調使用 AI 來增強和加強 SOC 團隊的技能，而不是用助手替代人員。

　　CrowdStrike創始人兼CEO George Kurtz指出："這意味著你可以將一級分析師轉變為三級分析師，可以將8小時的日常工作轉變為10分鐘。"

　　Ivanti 首席信息官 Robert Grazioli 強調，AI安全助手不是消除人為因素，而是用 AI 助手賦能人類，減少重復性任務，并讓分析師專注于復雜威脅。他補充說："分析師倦怠是由重復性任務和持續涌入的低保真度告警引起的。AI 助手能夠過濾這些噪音，讓專家處理最棘手的問題。"Ivanti 的研究發現，采用 AI 分類的組織可以將誤報減少高達70%。

　　WinWire首席技術官 Vineet Arora 持相同觀點。他表示，AI將作為人類分析師的力量倍增器，而非替代品。例如，AI 可以處理初始告警分類和對安全問題的常規響應，使分析師能夠將專業知識集中在復雜威脅和戰略性工作上。因此他認為，人類團隊應該保持對 AI 系統的監督，同時利用它們減少日常工作量。

　　Palo Alto Networks創始人兼首席技術官Nir Zuk表示："我們的AI驅動平臺不是要將分析師從流程中移除;它們統一了SOC工作流程，使分析師能夠更具戰略性地完成工作。"

　　思科安全與協作執行副總裁兼總經理Jeetu Patel指出："AI的真正價值在于它如何縮小網絡安全人才差距，而不是通過自動化讓分析師出局，而是使他們的效率呈指數級提高。"

　　CrowdStrike首席技術官Elia Zaitsev警告說，專注于完全替代人類專業人員而非與他們合作是一種誤導性策略。AI驅動工具應被視為人類的協作伙伴，這一概念在網絡安全領域尤為重要。

　　七個主要應用場景

　　AI安全助手在SOC中的應用正在快速擴展，以下是當前主要的應用場景：

　　1.加速告警分類

　　使用Microsoft 安全副駕駛和Charlotte AI等助手的一級分析師可以將分類時間從數小時縮短到幾分鐘。這得益于預訓練模型，這些模型可以標記已知的戰術、技術和程序(TTP)，交叉引用威脅情報，并附帶可信度評分提供分析結果。

　　2.告警去重和干擾過濾

　　Observo Orion和Trellix WISE等產品使用上下文過濾關聯多源遙測，消除低優先級噪音，將告警疲勞減少多達70%，使團隊能夠專注于高保真信號。Sophos XDR AI Assistant為擁有較小團隊的中型SOC實現了類似的結果。

　　3.策略執行和防火墻調優

　　Cisco AI Assistant和Palo Alto的Cortex助手能夠根據遙測閾值和異常檢測動態建議并自動實施策略變更，這對于具有復雜、分布式防火墻拓撲和零信任授權的SOC尤為重要。

　　4. 跨域威脅關聯

　　微軟安全副駕駛SentinelOne Purple AI 集成身份遙測、 SIEM 日志和終端數據，以檢測橫向移動、權限提升或可疑的多跳活動。分析師接收上下文劇本，減少超過 40%的根本原因分析。

　　5.暴露驗證和入侵模擬

　　Cymulate AI Copilot模擬紅隊邏輯并測試針對新CVE的暴露，使SOC能夠主動驗證控制，將手動驗證步驟替換為集成到SOAR工作流程中的自動化姿態測試。

　　6.自然語言SIEM交互

　　Exabeam Copilot和Splunk AI Assistant允許分析師將自然語言查詢轉換為可執行的SIEM命令，使調查能力民主化，特別是對于技術性較低的人員，并減少對深度查詢語言知識的依賴。

　　7.身份風險降低

　　Oleria Copilot持續掃描休眠賬戶、過度訪問權限和未鏈接的權限，自動生成清理計劃并執行最小權限策略，幫助減少混合環境中的內部威脅面。

　　將海量數據轉化為洞察

　　當前，SOC 不斷被數據淹沒，這些數據主要來自終端日志、防火墻事件日志、身份變更通知和日志。AI安全助手能夠輕松盤活這些數據，從噪音中分離出重要信號，提高 SOC 團隊的準確性、洞察力和響應速度。

　　如此，SOC 團隊不再被告警淹沒，而是響應可自動分類的優先級、高保真度事件。

　　據悉，CrowdStrike 的Charlotte AI 每天從 Falcon 平臺處理超過 1萬億高保真信號，并基于數百萬個真實分析師決策進行訓練。它自主分類終端檢測，與人類專家的一致性超過 98%，每周為團隊平均節省 40 多小時的手動工作。

　　Microsoft 安全副駕駛客戶報告稱，在調查和響應、威脅搜尋和威脅情報評估等基礎任務上，節省了安全分析師高達 40%的時間。在準備報告或排除小問題等更平凡的任務上，安全副駕駛提供的效率提升高達 60%以上。

　　AI安全助手的最終目標不僅僅是智能、提示驅動的個人編程助手;而是跨SOC工作流程集成AI驅動的決策制定。未來的AI安全助手將更加自主，能夠在更廣泛的安全領域中做出決策并采取行動。

　　通過整合身份、終端和網絡遙測，AI安全助手將減少識別橫向移動和權限提升所需的時間，這是攻擊鏈中最危險的兩個階段。它們不僅加速響應，還在培訓和留住員工方面發揮著關鍵作用，消除了機械性工作，同時為SOC分析師創造了學習和職業發展的新機會。

　　隨著網絡威脅的不斷演變和安全人才缺口的持續存在，AI安全助手將在未來的SOC中扮演越來越重要的角色，幫助組織在資源有限的情況下維持高效的安全運營。通過減少誤報、自動化常規任務和提供更深入的威脅洞察，AI安全助手正在成為現代SOC不可或缺的組成部分。