【学习笔记】AI赋能安全运营中心典型场景

一、概览

由概览图可以大致看出目前AI应用的广泛度和成熟度分布情况。

从高成熟度、高广泛度的知识问答到低成熟度、低广泛度的代码安全审计安全验证，均可以通过AI，通过重构赋能后大幅提升其价值。

未来的ISOC的目标是：实现更精准的威胁检测、更快速的事件响应、更全面的安全感知、更智能的安全决策支持。

二、风险识别

对于拥有大量IT资产和复杂网络环境的组织，传统SOC面临诸多问题：一方面，传统SOC需要定期进行渗透测试来评估安全防御体系的有效性，但其漏洞管理依赖人工操作，效率低下且容易出错；另一方面，面对数量庞大、种类繁多且变更频繁的IT资产，传统SOC的管理方式效率低、易出错，难以全面掌握资产全貌和实时安全状态，无法有效满足组织的安全管理需求。

通过AI技术赋能风险识别的各个环节，实现从被动到主动的资产管理、从人工到自动的风险评估、从割裂到闭环的漏洞管理，为构建更具主动性、更智能的安全运营体系奠定了基础，尤其是在资产管理、风险评估和漏洞管理三大场景中。

智能化风险识别

1、 资产管理

ISOC利用机器学习、知识图谱等技术，可以实现资产的自动发现、分类、检测并关联，主要应用于实现智能化的资产梳理，提升资产梳理的效率。

智能化赋能

• 利用机器学习模型等技术，可以自动识别资产类型、操作系统、应用软件等，实现资产自动发现与识别；

• 利用自然语言处理技术，从资产配置文档、漏洞描述中提取关键属性信息，并根据资产属性对资产进行分类和标记（例如，服务器、工作站、数据库、Web应用等）；

• 利用机器学习模型，检测资产配置变更，识别潜在风险；

• 利用知识图谱技术，构建资产之间的关联关系图谱。例如，应用与服务器的依赖关系、用户与设备的关联关系等。

智能化优势

• 提高资产盘点效率：自动化资产盘点，降低人工成本；

• 全面掌握资产信息：提供完整、准确的资产清单，消除管理盲区；

• 及时发现资产变更：快速识别未授权的资产变更，降低安全风险；

• 可视化资产关系：通过知识图谱，清晰显示资产之间的关联关系，从而进行风险评估和事件调查。

2、风险评估

智能化赋能

• 强化学习：自动化漏洞扫描、漏洞利用、攻击路径规划；

• 机器学习：漏洞利用选择、攻击策略优化；

• 知识图谱：目标系统信息收集、攻击路径规划；

• 自然语言处理：漏洞报告生成。

智能化优势

• 提高渗透测试效率：自动化执行渗透测试，缩短整个测试周期；

• 降低渗透测试成本：减少对人工渗透测试专家的依赖；

• 扩大渗透测试覆盖面：对目标系统进行更全面、更深入的安全测试；

• 提高渗透测试质量：发现更多潜在的安全漏洞。

3、自动化渗透测试和漏洞全生命周期管理

智能化赋能

• 利用自然语言处理技术，读取CVE并解析漏洞描述、提取关键信息，如CVE编号、CVSS评分、影响范围、修复建议等；

• 利用机器学习模型，根据漏洞的严重程度、可利用性、影响范围等因素，对漏洞进行优先级排序。利用知识图谱技术，分析漏洞与资产、应用、业务的关联，评估漏洞的影响范围，根据漏洞类型、资产配置等因素，推荐最佳修复方案，并持续验证安全控制的有效性；

• 利用知识图谱技术，收集目标系统的相关信息（例如，网络、应用软件、开放端口、服务配置等）；

• 利用自动化漏洞扫描工具和机器学习模型，识别目标系统存在的漏洞，选择最有可能成功利用的漏洞，规划最佳攻击路径并自动执行漏洞利用，获取系统权限。最后自动生成渗透测试报告，包括发现的漏洞、攻击路径、修复建议等。

智能化优势

• 自动化漏洞管理流程：提高漏洞管理效率，降低人工成本；

• 确定风险修复优先级：优先修复高危漏洞，降低安全风险；

• 准确评估漏洞影响范围：避免盲目修复，减少业务中断时间；

• 提供智能修复建议：加快漏洞修复速度，提高修复质量。

三、威胁检测与研判

传统SOC存在诸多局限性，基于规则的威胁检测方法误报率和漏报率高，难以应对高级威胁并准确评估安全告警的优先级；面对海量日志数据，人工分析效率低下且容易出错，难以发现有价值的安全信息；在威胁情报处理上，人工分析难以应对数量庞大、来源多样且质量参差不齐的情报，无法有效利用；对于内部威胁，如账户盗用、异常登录等用户异常行为难以识别；在安全事件调查中，人工分析大量数据效率低且易出错，难以快速准确地梳理事件脉络和确定根本原因及影响范围，亟需自动化手段提升调查效率和准确性。

ISOC借助AI技术，在威胁检测、告警降噪、情报生成利用、0day和高级威胁检测以及事件调查等多方面实现智能化升级，有效提升了安全运营的效率、准确性和科学性，构建了更智能、高效的安全运营体系。

智能化威胁检测

1、威胁检测

ISOC可以通过对日志、业务流量及安全告警数据等进行检测和识别潜在威胁及异常行为，特别是APT攻击、0-day漏洞攻击、无文件攻击等高级威胁，提高威胁检测的覆盖范围和效率，降低误报率和漏报率。

智能化赋能

• 深度学习：利用深度学习模型分析网络流量、终端行为等数据，检测网络入侵检测、恶意软件分析、漏洞利用等行为；

• 机器学习：利用机器学习进行威胁分类、威胁评分、误报过滤。如对安全告警进行分类和评分，识别出高风险的告警；

• 用户和实体行为分析：用户异常行为检测。如异常登录、异常访问等；

• 知识图谱：利用知识图谱将安全事件与威胁情报进行关联，评估事件的风险等级。

智能化优势

• 提高威胁检测准确率：降低误报率和漏报率；

• 检测高级威胁：识别传统方法难以检测的高级持续性威胁（APT）；

• 加快威胁响应时间：快速识别和定位威胁，加快响应速度；

• 提升安全运营效率：智能化威胁检测和评估，减轻安全评估负担。

2、告警降噪

ISOC利用自然语言处理技术，解析非结构化日志数据，提取关键信息（如时间、IP地址、用户名、事件类型等）；利用机器学习模型，检测异常日志事件，如登录失败次数过多、异常文件访问等，对日志进行分析，识别常见的日志模式，并分析日志事件序列，识别潜在的攻击行为；利用知识图谱技术，关联不同来源的日志数据，攻击事件的完整流程。主要应用于通过AI技术对海量告警进行精准降噪，减少误报，将真正告警从大量无效告警中提取出来。

智能化赋能

• 自然语言处理：日志解析、关键词提取、语义分析。如从日志中提取源IP地址、目标IP地址、端口号、协议类型、事件类型等；

• 机器学习：异常日志检测、日志模式识别；

• 深度学习：日志序列分析、攻击行为识别；

• 知识图谱：日志关联分析、事件溯源。如将来自不同安全设备的日志进行关联，发现隐藏的攻击链。

智能化优势

• 智能化日志分析：提高日志分析效率，降低人工成本；

• 快速发现安全事件：及时识别异常日志事件，发现潜在威胁；

• 提高事件调查效率：通过日志关联分析，快速定位事件原因；

• 提升设备采集能力：从海量日志数据中提取有价值的安全信息，全面了解安全设备。

3、情报生成和利用

ISOC可以利用自然语言处理技术，从情报报告中提取关键信息（如攻击者、攻击手段、漏洞信息、IOC等），自动生成情报摘要，方便安全分析师快速了解情报内容；利用知识图谱技术，关联不同来源的情报，构建威胁知识图谱，从情报中提取威胁指标（IP地址、漏洞、APT组织信息等），用于威胁检测；利用机器学习模型，根据情报的来源、时效性、相关性等因素，对情报进行优先级排序；翻译和处理不同语言的威胁情报。主要应用于利用AI技术进行威胁情报的提取，提升威胁情报的准确率。

智能化赋能

• 自然语言处理：利用自然语言处理提取威胁情报中的关键信息，例如IOC、攻击者画像和技术等，并实现威胁情报的情报信息提取、情报摘要生成、情报真伪判断的流程智能化。如从安全报告、博客、论坛等来源收集威胁情报，并将其应用到威胁检测中；

• 知识图谱：情报关联分析、威胁指标提取。如构建威胁情报知识图谱，将不同来源的威胁情报关联起来，形成更全面的威胁情报视图；

• 机器学习：情报优先级排序、情报可信度评估。对威胁情报进行评分，评估威胁情报的可信度和相关性；

• AI智能体：自动将威胁情报应用到安全设备和系统中，例如更新防火墙的阻止列表、IDS/IPS的签名库、EDR的检测规则等。

智能化优势

• 智能化情报分析：提高情报分析效率，降低人工成本；

• 快速获取关键情报：及时了解最新的安全威胁和攻击趋势；

• 提高威胁检测能力：利用威胁情报，提高威胁检测的准确性和时效性；

• 加强威胁情报共享：与合作伙伴共享威胁情报，共同防御网络攻击。

4、0day和高级威胁检测

ISOC可以解读日志数据，识别系统故障、配置错误及异常行为。利用机器学习模型，为每个用户构建行为画像，描述其正常的行为模式。实时监控用户行为，与用户行为画像进行对比，检测异常行为。对检测到的异常行为进行智能风险评分，确定威胁等级。对高风险异常行为同样发布，并触发相应的响应措施。

智能化赋能

• 机器学习：用户行为建模、异常行为检测、风险评分；

• 深度学习：序列行为分析、长期行为模式学习；

• 集成学习：结合多个模型，提高检测准确率。

智能化优势

• 检测内部威胁：识别内部人员的不当行为或账户泄露；

• 降低误报率：通过学习用户正常行为模式，减少误报；

• 提高威胁响应速度：及时发现和阻止内部威胁；

• 加强账户安全：预防账户被盗用或积分。

5、事件调查

ISOC利用AI智能体赋能可以显著提升安全事件分析的效率和深度，如利用知识图谱技术，关联不同来源的数据，构建事件关系图谱，还原攻击者的攻击路径，分析攻击者的特征和行为模式，利用自然语言处理技术，自动生成事件摘要，方便安全分析师快速了解事件情况。利用LLM帮助快速生成调查报告。帮助安全分析师快速、准确地了解事件的来龙去脉，确定事件的根本原因和影响范围，并为响应和提供更可靠的决策支持。

智能化赋能

• 知识图谱：事件关联分析、攻击还原路径、攻击者画像。如还原攻击路径，帮助安全分析师了解攻击者的攻击步骤；

• 自然语言处理：事件摘要生成、调查报告撰写。如从安全事件描述、日志信息等文本数据中提取关键信息，辅助安全分析师进行调查；

• 机器学习：攻击源定位、攻击手段识别。如进行根本原因分析，例如识别导致数据泄露的漏洞或配置缺陷；

• 自动生成报告：利用大语言模型（LLM）自动生成和优化调查报告。

智能化优势

• 提高事件调查的效率和准确性；

• 帮助安全分析师更快地找到事件的根本原因和影响范围；

• 为安全事件的响应和处置提供更全面的信息支持。

四、事件响应

安全事件响应需要快速、准确，传统SOC手动响应方式效率低、易出错。通过AI赋能，ISOC可以实现安全事件响应的智能化和自动化，以及安全报告的自动生成，从而大幅提升安全运营的效率和效果，降低安全风险。

ISOC通过AI赋能实现安全事件响应的智能化和自动化，包括自动化响应、智能决策、动态调整策略及报告自动生成等功能，大幅提升安全运营效率和效果，降低安全风险，同时减轻分析师负担并减少人为错误。特别是AI智能体的应用，使得ISOC能够更智能地进行响应决策和自动化编排，提升事件响应效率和报告的快速生成。

ISOC利用SOAR平台、AI智能体的赋能可以大幅提升安全事件的响应速度和效率，缩短安全事件的响应时间（MTTR），减少安全事件造成的损失，并实现更精细化和自动化的响应，实现安全事件的自动响应和处置，从而减少人工干预。比如说，定义各种安全事件的响应流程，如恶意软件感染响应流程、DDoS攻击响应流程等。利用机器学习模型，根据威胁类型、影响范围等因素，选择最佳响应动作，如隔离受感染主机、阻止恶意IP地址、封锁用户账户等，并自动执行响应动作，事后利用强化学习技术，根据响应效果，动态调整响应策略。

智能化赋能

• 智能的响应决策：根据事件的类型、影响范围、风险等级以及当前的威胁预警，利用进行响应决策，并推荐最佳的响应措施；

• 智能化响应预案生成：根据预定义的响应策略和当前的事件信息，自动生成针对该事件的响应预案，包括具体的响应步骤、负责人、时间要求等；

• 与SOAR平台的无缝集成：SOAR平台自动执行预案中的自动化操作，例如调用各个安全设备的API接口进行隔离、阻止、清除等操作；

• 动态调整响应策略：根据响应措施的执行效果和威胁的变化，动态调整响应策略，实现自适应的响应；

• 自动化的响应验证：配合相关平台（如EDR、NDR）进行模拟攻击或漏洞扫描，验证响应措施的有效性。

智能化优势

• 提高响应效率：快速响应安全事件，减少响应时间；

• 减轻分析师负担：使专家聚焦分析处理更复杂的安全问题；

• 降低安全风险：及时阻止威胁扩散，减少安全损失；

• 减少人为错误：自动化执行响应动作，避免人为操作失误。

五、运营管理

随着运营管理范围的扩大，安全运营业务覆盖到模拟演练、数据安全和合规等领域。传统的安全演练方式存在投入大、难以模拟真实复杂攻击场景的问题，难以高效提升安全团队的应急响应能力；数据安全管理主要依赖人工梳理和配置策略，难以全面、准确、及时掌握企业数据安全现状；合规评估也依赖人工操作，工作量大、效率低、易出错，难以保证全面性和一致性，且难以应对不断更新变化的合规要求。因此，组织需要更高效、简洁、可重复的模拟演练方式，以及更自动化、智能化的数据安全管理和合规评估手段，以提升整体安全管理水平。

ISOC通过引入人工智能技术，特别是AI智能体，实现了安全运营管理的高效智能化、自动化，能够帮助企业更、更全面地进行资产管理、风险评估、合评估规范，并提供智能化的决策支持，提升整体安全管理水平。

1、模拟演练

ISOC利用LLM生成演练剧本，包括攻击目标、攻击策略、时间线等，并实现模拟演练的计划、模拟攻击和报告生成。

智能化赋能

• 利用知识图谱构建演练环境模型，包括网络拓扑、资产信息、漏洞信息等；

• 利用强化学习训练攻击者自动发现漏洞、利用漏洞、规划攻击路径；

• 利用AI生成恶意流量、钓鱼邮件、恶意软件样本。利用自然语言处理模拟攻击者的通信和行为；

• 利用SOAR平台编排防御流程，模拟安全团队的响应操作；

• 利用机器学习模型进行威胁检测和事件分析。自动执行演练，记录攻击方和防御方的行为。评估演练结果，分析防御方的优势和不足；

• 利用自然语言处理和LLM自动生成演练报告，包括演练过程、发现问题、改进建议等。

• 钓鱼邮件生成，如根据用户输入的钓鱼邮件主题，大模型自动生成对应内容的钓鱼邮件，满足不同场景下的钓鱼需求，并提供钓鱼邮件所需要点，助力用户提升撰写钓鱼邮件技巧。

智能化优势

• 更真实的模拟场景：更真实的场景，模拟更复杂，提高演练的效果；

• 更高效地演练：自动化执行演练，减少人力和时间投入；

• 更可重复的演练：可以多次重复执行演练，增强不同防御策略的效果；

• 更全面地评估：全面评估安全团队的应急响应能力和安全防御水平。

2、数据安全

企业普遍面临数据资产模糊、数据识别敏感不准、数据访问权限混乱、数据流动不可视、数据安全风险难以评估等问题。

智能化应用赋能

• 智能化数据资产发现：利用AI智能体自动发现和识别企业内部外部的各种数据资产，包括云端数据库、本地数据库、文件服务器、SaaS应用、终端设备等，并识别数据类型、数据格式等；

• 标记数据分类分级：利用自然语言处理、机器学习等技术，自动识别和分类敏感数据，例如个人身份信息（PII）、财务、知识产权、商业机密等，并根据数据的敏感程度进行分级；

• 数据访问权限梳理：自动化分析和整理数据访问权限配置，识别权限过大、权限中断、权限冲突等问题。AI智能体可以通过解析IAM系统、数据库配置等信息，自动构建数据访问权限图谱；

• 数据流自动发现：结合NDR和机器学习技术，自动发现和异构数据流地图，展示数据在不同系统、不同用户之间的流动情况，并识别异常的数据流动行为；

• 人工智能驱动的风险评估：利用人工智能模型（如风险评估模型、异常检测模型）对数据资产的安全风险进行评估，并识别高风险的数据资产；

• 智能化安全策略：AI智能体可以根据数据配置的分类分级结果和风险评估结果，自动生成或优化数据安全策略，例如数据访问控制策略、数据加密策略、数据脱敏策略等；

• 持续监控与动态调整：AI智能体持续监控数据安全增量，并根据威胁情报、安全事件、用户行为等信息，动态调整数据安全策略。

智能化优势

• 全面性：更全面地发现和识别数据资产，覆盖各种类型和位置的数据；

• 准确性：更准确地识别和分类敏感数据，减少人工标记的错误和遗漏；

• 实时性：实时监控数据访问和流动情况，及时发现数据安全风险；

• 自动化：自动化执行数据安全装载的各个部分，提高效率，降低成本；

• 可视化：以可视化的方式展示数据安全现状，帮助安全团队更好地了解数据安全状况。

3、合规评估

企业需要遵守各种安全法规、行业标准和内部策略，企业需要及时了解和适应这些变化ISOC可以帮助企业实现合规评估的自动化、定制化和持续化，从而提高合规性管理的效率和效果，降低合规风险。AI智能体在其中扮演着重要的角色，它自动化地执行合规评估的各个环节，并提供定制的决策支持。

智能化应用赋能：

• 利用NLP技术，自动获取和解析各种安全法规、行业标准和内部策略文档，提取出关键的合规要求，将提取出的合规要求转化为机器可理解的格式，例如构造数据表或知识图谱。例如，AI智能体自动解析数据安全的文本，提取出与安全相关的条款，例如加密、数据访问控制、数据泄露相关数据通知等要求；

• AI智能体自动调用安全使用工具或脚本，对企业的IT系统、网络设备、安全设备等进行安全配置检查。将检查结果与提取出的合规要求进行比较，自动识别出不符合要求的配置项。例如：检查数据库服务器是否开启审计功能。检查防火墙规则是否足够多。检查用户账号的密码是否符合复杂度要求。检查终端是否安装防病毒软件，并且病毒库是否为最新；

• 基于知识图谱的合规性评估：构建安全合规知识图谱，将安全法规、行业标准、企业内部策略、IT资产、安全配置等信息关联起来。利用图谱和规则引擎，对企业的安全合规性进行评估，并识别出不符合要求的项。例如，判断某个系统是否满足等级保护三级的要求；判断某个业务流程是否符合数据安全的要求；

• 自动化合规生成报告：AI智能体根据合规检查和评估的结果，自动生成合规报告，包括检查的范围、发现的问题、整改建议等。

智能化优势：

• 提高效率：自动化执行合规性检查和评估任务，极大地提高工作效率；

• 降低成本：减少人工检查的工作量，降低合规成本；

• 提升准确性：减少人为错误，提高合规性检查的准确性和一致性；

• 全面覆盖：可以对企业的IT系统和安全措施进行更全面的合规性检查，避免遗漏；

• 及时更新：能够及时跟踪安全法规和标准的变化，并更新合规性检查规则；

• 持续监控：可以持续监控企业的合规状态，及时发现和整改不符合要求的项目。

六、知识问答

威胁告警研判需要一定的安全知识和专家经验，传统SOC主要依赖人员专家的分析，往往面临专家短缺的困难，运用安全专业知识增强大语言模型，从而形成针对安全领域的智能问答推理、问题解决和决策支持的专业能力。如利用算法提取相关特征，如网络流量特征、系统调用序列、API调用序列等，使用标注数据训练深度学习/机器学习模型，并利用训练好的模型实时分析安全数据，检测威胁，应用于提高对流量、日志中的异常检测和分析能力。

ISOC可以利用智能体提供专业的安全知识，通过自然语言交互问答方式辅助分析师，获取安全专业知识和系统业务数据以及围绕安全运营、安全运维相关的措施手段，如推荐研判方法，提供详细的相关资料，并生成实时的安全建议和指导方案支持专家的判断等。

知识问答和专家辅助智能体

智能化赋能

• 机器学习算法和人工智能模型。通过对大量历史安全数据的学习，建立正常网络行为模型，当出现与模型不符的异常行为时，立即发出警报，提高威胁检测的及时性和准确性；

• 利用AI技术对告警进行深度分析，利用专家经验模型和人工智能算法，对告警进行分类和筛选，根据告警的特征、来源、关联关系等因素，判断告警的重要性和真实性。

智能化优势

• 辅助识别潜在威胁。对采集到的数据进行实时分析，快速准确地识别出潜在威胁，减少人工干预。将安全运营人员从海量告警中解放出来，聚焦关键威胁。

八、七个典型应用场景

AI安全助手在SOC中的应用正在快速扩展，以下是当前主要的应用场景：

1、 加速告警分类

使用Microsoft 安全副驾驶和Charlotte AI等助手的一级分析师可以将分类时间从数小时缩短到几分钟。这得益于预训练模型，这些模型可以标记已知的战术、技术和程序（TTP），交叉引用威胁情报，并附带可信度评分提供分析结果。

2、告警去重和干扰过滤

Observo Orion和Trellix WISE等产品使用上下文过滤关联多源遥测，消除低优先级噪音，将告警疲劳减少多达70%，使团队能够专注于高保真信号。Sophos XDR AI Assistant为拥有较小团队的中型SOC实现了类似的结果。

3、策略执行和防火墙调优

Cisco AI Assistant和Palo Alto的Cortex助手能够根据遥测阈值和异常检测动态建议并自动实施策略变更，这对于具有复杂、分布式防火墙拓扑和零信任授权的SOC尤为重要。

4、 跨域威胁关联

微软安全副驾驶SentinelOne Purple AI 集成身份遥测、 SIEM 日志和终端数据，以检测横向移动、权限提升或可疑的多跳活动。分析师接收上下文剧本，减少超过 40%的根本原因分析。

5、暴露验证和入侵模拟

Cymulate AI Copilot模拟红队逻辑并测试针对新CVE的暴露，使SOC能够主动验证控制，将手动验证步骤替换为集成到SOAR工作流程中的自动化姿态测试。

6、自然语言SIEM交互

Exabeam Copilot和Splunk AI Assistant允许分析师将自然语言查询转换为可执行的SIEM命令，使调查能力民主化，特别是对于技术性较低的人员，并减少对深度查询语言知识的依赖。

7、身份风险降低

Oleria Copilot持续扫描休眠账户、过度访问权限和未链接的权限，自动生成清理计划并执行最小权限策略，帮助减少混合环境中的内部威胁面。

参考文档：

1、深度研究 | 透析AI赋能安全运营的五大应用场景，加速数智化转型|智能化|自动化_网易订阅