作者：Jack Naglieri

时间：2025 年01 月 27 日

原文：

Detection at Scale

The Evolved SOC Analyst

Welcome to Detection at Scale—a weekly newsletter covering generative AI, security monitoring, cloud data infrastructure, and more. Enjoy…

Read more

3 months ago · 8 likes · Jack Naglieri

在安全运营领域，机构知识（Institutional Knowledge）至关重要。安全分析员需要经过多年的实践，才能培养出对环境中“正常”状态的直觉，判断哪些警报最值得关注，以及如何分析和应对安全事件。然而，随着系统的日益复杂化以及团队成员的频繁流动，要保留和扩展这种经验几乎变得不可能。

AI 安全分析员的崛起

AI 安全分析员应运而生。与过去几年安全领域主导话题的聊天机器人和自动化工具不同，这些智能代理（intelligent agents）被专门设计成安全团队的助手，它们可以：

✅ 学习你的团队的调查流程
✅ 具备完美的记忆力，不会遗忘历史事件
✅ 帮助分析员更快、更准确地做出决策

这些 AI 代理不会取代你的安全运营中心（SOC）团队，而是会创造一种全新的安全工作流——让机器来处理繁重的数据关联和模式识别工作，而人类则专注于战略分析和新型威胁的识别。

这一概念并非全新。自动化剧本（playbooks）和 SOAR（安全编排、自动化和响应）工作流已经存在多年，但核心区别在于：传统自动化遵循预定义路径，而 AI 安全分析员则可以根据上下文、历史事件以及环境中的独特模式调整调查方式。这使得人与机器之间的协作模式发生了根本性的变化。

安全运营的新调查流程

传统的安全调查流程类似于跨多个管辖区域构建案件的侦探。调查通常从一个线索开始，例如可疑的登录警报或异常的网络流量，而支持性证据则散布在不同的系统中。

然而，安全分析员不能仅凭单一证据升级安全事件，他们需要逐步构建对事件的信心：

• 终端日志（Endpoint Logs）确认恶意进程的存在

• 身份和访问管理（IAM）记录显示可疑的访问模式

• 网络流量日志（Network Flows）揭示潜在的数据泄露路径

但在现实中，分析员往往花费大量时间在切换工具和接口上，而非专注于分析攻击模式。

AI 分析员如何优化这一流程？

AI 安全分析员可以将碎片化的调查流程转变为流畅的分析过程，其目标明确：解决警报并从中学习。

来看一个真实案例：调查可疑的特权访问尝试。

传统方式下，分析员需要手动查询多个系统，而 AI 分析员则会直接提供事件背景：

🤖 "用户 alice.waters 在美国东部时间凌晨 3 点试图从一台 非受管设备 访问生产数据库。这种行为异常，原因如下："

• Alice 通常在 9-5 EST 工作，过去 6 个月从未在非工作时间登录

• 尽管她拥有访问权限，但她从未直接访问过该数据库

• 她的同事（支付团队的其他开发人员）通常通过内部仪表板访问该数据

• 该访问尝试发生在她的凭据刚刚被一个来自罗马尼亚的新 IP 地址使用之后

这一初步评估整合了数月的历史数据、同侪行为模式和资产背景——人类分析员需要数小时才能完成的工作，AI 在几秒钟内即可完成。

交互式调查：自然语言搜索

更强大的功能在于交互式调查。分析员无需跳转多个工具，只需用自然语言进行提问：

• "显示 Alice 过去 24 小时内的所有身份验证事件"

• "是否有其他团队成员出现类似行为？"

AI 代理可以保持上下文理解，知道“类似行为”指的是非工作时间访问数据库，而不仅仅是身份验证事件。

AI 分析员如何增强人类分析能力？

优秀的安全分析员不仅擅长寻找证据，更善于识别模式、理解环境，并提出关键问题。但人类分析员可能会遗忘细节或忽略关联，而 AI 分析员则可以提供完美的记忆能力和一致的模式识别。

AI 分析员还可以不断学习人类分析员的调查方式，包括：

• 哪些问题最关键？

• 哪些模式最值得关注？

• 哪些调查路径最有效？

不仅如此，团队还可以直接向 AI 分析员提供组织背景信息，例如：

📌 “这些管理员账户 不得 在变更窗口之外访问生产环境”
📌 “支付团队的工程师 仅 通过内部仪表板访问客户数据”

这些机构知识过去分散在 Wiki、运行手册和资深分析员的脑海中，但现在可以成为 AI 分析员的分析框架，帮助其理解你的独特环境中什么才是“正常”的。

决策：AI + 人类的最佳组合

安全分析的核心目标是做出正确的决策：

❓ 这个警报是真正的安全威胁吗？
❓ 是否应该升级为安全事件？
❓ 是否需要在凌晨 2 点叫醒基础设施团队？

在系统日益复杂、攻击愈发高级的情况下，机器的模式识别能力和人类的直觉与战略思维相结合，创造了一种全新的决策框架。

示例：数据外泄警报

传统调查：分析员查看最新日志，逐步回溯。

AI 分析员方式：

🤖 "该上传行为与过去一年中数据科学团队进行的 47 次批准迁移模式一致，但存在 3 个异常："

• 进程由一个最近被离职员工访问的服务账户运行

• 目标 IP 虽然合法，但在任何先前的迁移中都未使用

• 数据量比以往任何迁移都大 3 倍

这种分析不仅整合即时技术指标，还结合深层次历史背景，帮助分析员专注于真正异常的行为，而非在海量原始数据中苦苦寻找答案。

结论：AI + 人类的协同未来

SOC 分析员的角色正在从数据收集者（hunter-gatherer）转变为战略调查员（strategic investigator）。

未来最优秀的分析员不会是那些能写最复杂查询语句的人，而是能够：

🔎 提出正确问题，引导 AI 进行调查
🔎 判断何时信任 AI，何时需要深入挖掘
🔎 教授 AI 新的威胁模式和组织背景
🔎 专注于战略分析，让机器处理重复性任务

安全运营的未来不是“人类 vs. 机器”，而是“人类 + 机器”。

最成功的安全团队将拥抱 AI 分析员，培养人机协作，建立更高效、更精准的安全运营体系。

毕竟，安全问题最终仍然是人类的问题，而我们只是在借助更好的工具，以更大的规模应用我们的洞察力。