66AI Agent重构SOC：下一代智能安全运营平台的能力跃迁

当前的网络安全威胁复杂多变，攻击者手法日益精密。传统的安全运营中心（SOC）在面对海量告警、碎片化信息和不断加剧的技能鸿沟时，正承受着前所未有的压力。告警疲劳、响应延迟、误报误判、人才缺乏已成为常态，影响了安全防御的有效性。

在与我们用户一同建设SOC的过程中，我们也意识到，SOC的未来不在于简单地增加人力或堆叠工具，而在于引入真正的"智能"。这股智能变革的核心，我们认为正是AI Agent------一种具备安全场景理解、推理、决策、执行能力的AI驱动安全助手。而随着如DeepSeek等LLM的出现，进一步推动了AI普惠，AI Agent也并非遥不可及的概念，对于日志易而言，它也在逐步融入日志易的SIEM、SOC、UEBA和SOAR等产品，驱动着下一代智能安全运营实现能力跃迁。

一、 技术架构革新：从"规则驱动"到"认知驱动"

传统的安全分析严重依赖预设规则、特征和静态检测逻辑。这种"规则驱动"模式在面对未知或变异威胁时显得力不从心。AI Agent的引入，正在将这一模式彻底转向基于深度理解和推理的"认知驱动"。

1.态认知引擎：模拟人类思维链，实现威胁的深度理解

动态认知引擎：模拟人类思维链，深度理解威胁。AI Agent架构的核心在于其动态认知引擎。我们将大型语言模型（LLM）作为其"大脑"，赋予Agent强大的自然语言理解、推理和知识整合能力。借鉴先进Agent框架的角色分工理念，日志易在SOC中部署了不同职能的AI Agent，例如：

• 分析Agent：利用LLM对感知到的异常事件进行深度分析，模拟安全专家的"思维链"（Chain of Thought），从海量日志和流量中抽丝剥茧，理解攻击意图和技术手法；

• 规划Agent：根据分析结果，制定最优的响应计划；

• 执行Agent：利用日志易SOAR联动各种安全工具和平台执行规划好的动作。

这种Agent之间的协作与LLM的推理能力相结合，实现了威胁分析的"人类安全分析师思维链模拟"，远非传统规则匹配可比。相较于仅执行固定流程的传统RPA，这种方式具备动态决策和适应性。当遇到规则库中未定义的异常时，AI Agent能基于其认知能力和上下文信息，自主判断、调整策略甚至生成新的处理流程，极大地提高了未知威胁的应对能力。目前日志易也实现对网络侧与端点侧告警的智能研判，更深入的场景也在持续验证中。

2.多维度感知能力：构建全景式安全上下文

多维度感知能力：构建全景式安全上下文。有效的安全分析离不开全面的信息感知。日志易的AI Agent具备强大的多模态感知能力，能够无缝整合来自网络流量、安全日志、终端行为、身份认证记录、威胁情报等多源异构数据。

通过"感知-规划-行动"的闭环，AI Agent能够实时汇聚这些信息，构建完整的安全上下文。通过Context Memory功能进行管理。例如，当检测到一处异常网络连接时，Agent不会孤立地看待它，而是会关联该IP的威胁情报、涉及终端的用户行为、该终端的历史活动模式等，通过UEBA模块形成一个多维度的安全画像，判断其真实风险。这种能力确保了分析的深度和准确性。作为上下文，通过提示工程以及RAG后，提供给LLM进行整体分析。

3.自进化防御体系：基于实战的持续优化

自进化防御体系：基于实战的持续优化。安全攻防是动态对抗的过程。日志易的AI Agent体系并非一成不变，而是具备自进化能力。我们基于强化学习机制，让Agent从每一次威胁事件的处理中学习和优化。例如，Agent执行某个响应动作后，会评估其有效性（是否成功阻止攻击、是否产生副作用），并将反馈用于调整其内部决策模型和策略。

通过持续吸收最新的攻击样本、手法数据以及实际处置结果，结合对先进大型模型的利用，AI Agent能够动态更新其检测模型和响应策略，使防御体系能够主动适应攻击者的变化，从被动响应转向主动防御。

二、 场景化能力突破：AI Agent给安全运营Tier 1～Tier 3带来的价值

目前看AI Agent的智能并非浮于表面，而是深入SOC的各个关键场景，覆盖Tier 1～Tier 3的主要场景，带来了"安全运营能力重构"的价值提升：

1.智能警报分流：告别告警疲劳，聚焦高价值事件

智能警报分流：告别告警疲劳，聚焦高价值事件。告警疲劳是困扰SOC的最大痛点之一。日志易的AI Agent在此场景中扮演了高效的Triage Agent（告警分诊）角色，实现了告警处理的全自动化和智能化：

• 智能分组与去重：Agent能够理解不同告警之间的关联性（使用日志易SIEM中的Graph溯源分析模块），将源于同一攻击链或同一根源的告警进行智能分组与高效去重，大幅减少需要人工处理的告警数量，并做初步的解读；

• 自动化增强：对于分组后的告警，Agent会自动调用日志易平台内的威胁情报接口进行IOC（失陷指标）匹配、关联UEBA数据进行资产画像和行为分析。这种自动化增强提供了丰富的上下文信息，帮助Agent和分析师快速判断事件的优先级和真实性；

• 降低误报率：通过多模态感知和深入上下文分析，Triage Agent能更准确地区分恶意行为与正常活动，显著降低误报率。

对比传统SOC完全依赖人工或简单规则进行分诊的低效模式，日志易AI Agent的分流能力带来了较大的效率提升。最近的AI技术在特定安全任务中已展现出较高的效能，日志易将这种能力应用于SOC分诊，大幅缩短了原本耗费大量人工的警报处理时间，让人类安全分析师得以将精力集中在真正高价值、需要深度分析和决策的复杂事件上。

2.自动化威胁狩猎：让隐匿威胁无处遁形

自动化威胁狩猎：让隐匿威胁无处遁形。先进的攻击者往往采用隐蔽技术，绕过传统检测机制。威胁狩猎旨在主动发现这些未知或潜伏的威胁，但这通常需要经验丰富的专家耗费大量时间精力。日志易AI Agent以威胁狩猎代理的形式，实现了自动化和常态化的威胁狩猎：

• 基于ChatSPL的多轮安全分析：在日常安全运营或攻防对抗中，安全分析师的主观洞察和探索性分析不可或缺。为了赋能安全分析师更高效地进行主动狩猎，利用日志易灵活的SPL（Search Processing Language）对安全数据进行分析，日志易AI Agent支持安全分析师使用自然语言与SIEM平台进行交互，提出安全数据分析和威胁狩猎相关的查询请求。底层的AI Agent能够理解这些自然语言意图，并将其智能地转化为高效的SPL查询语句或其他必要的系统指令，从而实现对海量安全数据的快速检索、关联和分析。安全狩猎往往是一个迭代和探索的过程，分析师会根据初步结果不断调整思路、提出更深入的问题。ChatSPL支持连续的对话交互：

NO.1 提出初步假设

分析师可以说："帮我看看过去一周所有来自未知地理位置的登录失败事件。"

NO.2 基于结果再次下钻

基于返回结果，分析师可以继续："只筛选出针对特权账号的尝试。"

NO.3 探索关联

接着问："这些账号最近是否有异常的数据下载行为？"

NO.4 可视化和汇总

进一步要求："把这些登录失败事件按来源IP进行统计，并生成一个柱状图。"

这种多轮对话模式极大地降低了分析师的认知负担，他们/她们可以将精力集中在"思考要找什么"、"如何验证假设"上，而不是纠结于查询语法。AI Agent在后台维护对话上下文，理解用户意图的演进，并智能地构建和优化后续查询。

• 基于已知威胁模式的关联分析：Agent持续分析历史日志和行为数据，自动识别与行业标准威胁模式，比如映射到TTP等相关的活动行为。最后，基于日志易SIEM的规则检测引擎，智能生成相关的检测规则，投入到实际的威胁检测中，释放安全分析师的大量配置开发精力，使安全分析师能聚集在洞察威胁，调查可疑安全事件，并优化基础检测规则的工作上；

• 跨域关联与模式识别：Agent能够关联不同数据源（网络、终端、日志）中的低信号事件，识别出人类安全分析师难以发现的、跨越多个环节的隐蔽攻击链；

• 主动探索异 常：不同于响应已知告警，狩猎Agent会主动探索数据中的异常模式和未知行为，生成潜在的威胁假说并进行验证。

我们正进入一个"AI对抗AI"的时代。攻击者利用AI生成恶意内容、混淆攻击流量。防御者必须也采用AI才能有效对抗。自动化威胁狩猎Agent正是这一理念的体现，它也能力利用新兴的AI技术能力，通过模拟人类安全分析师分析思维或关联挖掘或意图理解，来识别各种隐匿手法。目前日志易在AI技术的实践应用也已在一些用户环境下，应对复杂对抗场景中证明了其价值。

3.智能响应编排：实现毫秒级响应，最小化攻击影响

智能响应编排：毫秒级响应，最小化攻击影响。快速、准确的响应是阻止攻击扩散、最小化损失的关键。日志易AI Agent与SOAR平台的深度集成，构建了智能响应编排能力，作为响应式AI Agents的蓝图正在落地：

• 动态响应规划：当AI Agent识别并确认威胁后，规划Agent会根据事件的类型、资产的重要性、潜在影响等因素，动态生成最佳响应方案。

• 自动化执行与编排：执行Agent通过日志易SOAR平台调用各种安全工具接口，自动化执行复杂的响应流程。这包括但不限于：自动生成命令隔离云主机、通过API更新防火墙规则阻断恶意IP、在端点安全平台隔离终端、发送指令重置用户密码、收集证据进行取证分析等。

• 提高效率与一致性：将响应过程自动化，消除了人工操作的延迟和潜在错误，确保了响应的快速性和一致性，显著降低了平均响应时间。

三、 未来展望

AI Agent正在以前所未有的力量重塑SOC。我们认为，它不是要取代人类安全专家，而是作为强大的智能副驾驶，极大地提高分析师的效率，自动化繁琐重复的任务，让威胁无所遁形，响应迅疾如风。日志易的SIEM、SOC、UEBA、SOAR产品目前也深度融合了AI Agent技术，希望能帮助我们的用户构建更高效、更智能、更具弹性的下一代安全运营体系。

目前日志易支持对接第三方LLM，如Qwen全系列、DeepSeek全系列等。如您希望更加深入了解，还请联系我们，了解日志易融合AI能力的产品版本。