自治 SOC 是一段旅程，而不是目的地

“ 对机器速度、AI 驱动下的网络防御的未来是有充分依据的愿景，还是白日做梦？在现代安全领域，很少有概念像这样两极分化，双方被描绘成“信徒”与“非信徒”的不同阵营，每个阵营都伴随着越来越夸张的主张。”

SentinelOne常对他们的客户谈论自治 SOC 及其将为日常安全运营带来的根本转变。今天，我们站在第三方的视角，来看看他们是如何对这句话进行定义的。同时在本篇文章中，SentinelOne也提出了一个自治 SOC 成熟度模型。就像网络安全中的大部分一样，重要的不是某个概念的定义，而是在现实世界的应用。

在常见问题上保持一致

当今的安全团队面临着日益复杂的挑战，包括复杂攻击的激增、告警数量的上升、不断扩大的攻击面以及专业人员的短缺。

以往的 SOC 团队从来没有像如今这样需要快速有效地分析、调查和响应威胁。此外我们知道，有些工作的规模是相对较大的，如主动态势管理和威胁搜寻措施，由于需要时间和专业知识，经常被搁置一旁。

定义自治 SOC

有一些人认为，自治 SOC 是一个充满未来主义的，去人类化的，机器可以单方面保护组织免受攻击。

在未来这真的能实现吗？也许有一天，但这种可能性充其量是很多年后的事情。对于现在，更好的问题可能是：什么样的自主性是可取的，我们可以在多大程度上实现它？

SentinelOne 将自治 SOC 定义为具有不同阶段的概念旅程。在这个过程中，机器将手动、费力的工作自动化，从根本上加快了检测和响应，从而越来越增强人类 SecOps 团队的工作效率。

这是一个不断增长的行为和生成式 AI 安全的创新领域，具有一系列自动化类型和级别，可以推动人类 SOC 分析师的工作。通过让安全专家专注于战略性的、高价值的工作和决策，这些工具可以最大限度地将人工智能应用于安全运营。

与人类协同工作意味着 AI 和自动化通过持续的反馈循环变得更加有效和准确。这种共生关系放大了两者的优势，将 SOC 转变为更高效、更敏捷、更智能的团队。

赋能自治 SOC 之旅

SOC 的未来在于为每个 SOC 工作流程提供无缝集成的 AI 和自动化工具，以增强运营人员的效率和影响。AI 创新旨在补充 SOC 分析师，以便安全团队可以自信地按照自己的方式采用自主功能，同时确保其安全面向未来。

通过引入渐进式创新和改进，包括基于规则的自动化、AI 增强检测、自主分类等，帮助组织逐步构建高度自主的安全性可以是一种很好的选择。

这种循序渐进的方法确保了每个客户拥有工具，并且客户可以按照他们选择的方向推进自己的自洽 SOC 之旅。

绘制自治 SOC 成熟度模型

SentinelOne 通过成熟度模型的视角来看待自治 SOC。

他们使用了一个包含五个阶段的模型，概述了自动化和 AI 在推动进步以及安全团队可以自动化的具体安全任务方面的关键作用。

0 级 | 人工操运营

在该自治 SOC 成熟度模型的 0 级，安全运营严重依赖手动流程和简单的单一来源检测逻辑。

例如，典型场景可能涉及来自防火墙的警报，向可疑流量发出信号，从而触发长时间的手动调查。分析师需要从各种来源（例如网络日志或终端节点数据）收集上下文，以复原事件。

阻止 IP 或隔离受感染的计算机等补救措施都是手动执行的。

这种成熟度级别的威胁搜寻需要深厚的专业知识和广泛而耗时的分析，例如筛选网络日志以识别异常模式。如果没有自动化或 AI 协助，这种劳动密集型方法会减慢检测和响应速度，从而增加高级威胁逃避检测并升级为漏洞的风险。

1 级 | 基于规则的运营

在该自治 SOC 成熟度模型的第 1 级，组织引入了基于规则的检测和响应系统。

SOC 使用关联规则来组合来自多个来源的数据，从而提高威胁检测的准确性。安全编排、自动化和响应 （SOAR） 平台开始自动化部分调查和响应流程，从而减少手动工作量。

这个级别，安全团队可能会配置一个规则，将多次失败的登录尝试与来自同一 IP 地址的出站网络流量的突然峰值相关联。这会触发 SOAR 系统自动调查 IP 是否与已知威胁相关联，并在必要时隔离终端节点。

然而，尽管有这些改进，人类专业知识对于设计检测规则和管理响应手册仍然至关重要。为了跟上不断变化的威胁形势，SOC 团队必须不断完善这些规则，使这种 1 级自动化保持相关性。

2 级 | AI辅助的安全运营

在该自治 SOC 成熟度模型的第 2 级，引入了 AI 和机器学习 （ML），以将 SOC 运营提升到静态规则之外。

检测引擎的 AI 模型可以根据监督反馈或无监督学习进行自我调整，从而提高准确性并减少误报。

AI 助手利用生成式 AI 进一步简化检测工程、分类、调查和响应等基本任务，使分析师能够专注于更高价值的活动。

例如，AI 助手或虚拟安全分析师可以进行基于自然语言的威胁调查或搜寻。分析师可以提出简单的问题，例如，“整个网络中是否有任何异常的登录尝试？AI 助手可以解释查询、扫描数据源、识别模式并提供优先结果，最终用户无需编写复杂的查询或了解底层数据映射或字段。

这简化了溯源过程，并使威胁搜寻更容易获得，即使是经验不足的团队。通过引入 AI，Level 2 可以更快、更准确地做出响应，同时不断从过去的事件中学习以适应不断变化的威胁。

3 级 |部分自治

在该自治 SOC 成熟度模型的第 3 级，安全运营将朝着部分自治的方向发展，基于 LLM 的系统可以预测新的攻击并自动创建检测逻辑。

看上去这是下一个行业所要到达的合乎逻辑的阶段。AI 系统将利用代理方法来执行风险较低的响应操作，例如创建工单或强制重新进行身份验证，而人工分析师将专注于监督 AI 输出和处理需要更深入的上下文判断的任务。

例如，在一次看不见的勒索软件攻击期间，基于 LLM 的系统可以分析恶意软件的行为，生成检测规则，提出判定建议，并通过为资产所有者创建票据来自主响应，而无需用户编写复杂的查询或了解数据映射。

同时，人类分析师将审查 AI 生成的结果，在必要时调整检测逻辑，并验证整体响应策略。人类专家将管理高风险的决策，例如确定是否升级或参与更广泛的事件遏制工作，确保 AI 与安全策略保持一致。

4 级 |高度自洽

在该自治 SOC 成熟度模型的第 4 级，被认为是自治 SOC 成熟度模型在未来可能达到的最终阶段，安全运营将达到高度自主性。

一般来说，人们一致认为实现这一阶段的时间和可能性仍然存在问题，4 级的潜力取决于 AI 模型是否转向思维推理和完全通用人工智能 （AGI）。

然而，在这种潜在的未来假设状态下，代理方法将处理所有 SOC 流程，从检测和调查到响应和补救，只需最少的人工干预。人类分析师也将发挥更具战略性的作用，指导和改进 AI 以适应新出现的威胁并保持弹性。

然后，此模型将实现 24/7 全天候、无需干预的安全方法，从而大大缩短响应时间并最大限度地减少攻击的影响。

例如，在高度自治的 SOC 中，AI 系统可以独立检测威胁、调查威胁并启动补救措施，例如回滚受恶意软件感染的系统、撤销泄露的凭据和更新防火墙规则。

通往自治 SOC 之路

在自治 SOC 的路途中取得进展是网络安全的未来，其中 AI 和自动化可以减少工作负载，提高检测准确性并缩短响应时间。实现高度自主性确实需要从根本上改变视角。

随着 SOC 的发展，安全分析师的角色从单调的任务和费力的动手调查转变为系统监督和优化。

我们可以预见的是，安全专业人员将 AI 和自主 SOC 创新视为他们专业知识的放大，而不是替代品，最终创造一个更安全、更有弹性的数字环境。

结尾

倘若在未来实现了真正的自洽，不如说AI自洽，分析师就会失业吗？不仅仅在网络安全领域，随着AI的高度发展，我相信任何人都问过这个问题。

就个人看法， 以上所提到不单单体现在 SOC，我认为在任何领域AI都将发挥其关键作用，而非替代作用。

即使达到了理想中的AI自洽，仍然需要专家利用其专业水准处理更具备弹性的情况。