當前，企業安全運營中心(SOC)的運營人員往往會被淹沒在大量數據和警報中，因此很難及時洞察一些真正有威脅的安全漏洞。在此背景下，一些安全廠商開始全力投入研發一種“自主SOC”。相比傳統SOC方案，自主式SOC應用僅需較少的安全人員即可高效運行，從而降低企業安全團隊的運營難度。

自主SOC的目標定位

當企業開啟安全運營自動化之旅時，首先應該明確要自動化技術實現的安全運營目標，然后根據目標來制定自動化運營的關鍵流程。

自主SOC的一個核心目標是將各種安全警報進行聚合分類，并在警報處理的各個環節中實現自動化，減少人工干預。

自主SOC的目標不是用AI技術取代現有的安全團隊和人員，而是通過整合人員、流程和技術來更好地保護組織。專業的人才是安全運營工作不可或缺的因素。自主SOC可以使安全專業人員花費更少的時間來執行冗余任務，將更多的時間集中在更高價值的戰略計劃上。

自主SOC應該為現有的安全團隊提供更多服務和支持，并使用適合組織流程的技術，使人員的工作更輕松，并提升其能力。

通過自主SOC，組織可以整合所有的數據源，以提供統一、自動化的分類體驗，改進調查、支持分析師并縮短響應時間。因此，自主SOC需要具備一些更先進的技術能力，主要包括：

1. SOAR產品：這是一個成熟的產品類別，許多SOC團隊都使用了安全編排自動化和響應(SOAR)工具自動處理任務。但這此過程中頗有挑戰性，因為SOAR通常技術含量高或需要構建復雜的劇本。一些創新的SOAR產品集成了AI工具，或者提供預構建的劇本和無代碼工具，以簡化某些流程的自動化。

2. 自主SOC工具：這是一個較新的產品類別，使用原生自動化工作流和AI來攝取、調查和分類警報。這個領域的最新初創公司成立于2023年或2024年，使用基于生成式AI的技術。更成熟的自主SOC產品已集成了生成式AI，用來補充遺傳分析或機器學習等核心技術。

3. AI助手產品：這是最新的類別，出現于2023年。新的助手工具可以使用生成式AI來協助分析師，這樣他們可以在調查期間輕松查詢系統以獲得答案。這類工具可能會與其他工具集成，加快事件響應或自主采取行動，但目前尚不清楚這些AI助手會變得多么有效或流行。

自主SOC的關鍵流程

自主SOC并意味著將安全運營的每個流程都完全自動化，至少在短期內想做到這一點并不現實。自主SOC的關鍵是將一些大量重復且費力的工作自動化，這些工作往往會占用安全分析師的大量工作時間。

1. 持續監控

自主SOC需要7*24小時全天候持續監控和收集來自各種安全工具的警報信息，確保沒有潛在的威脅被忽視。

2. 收集證據

在收到警報信息后，自主SOC還需要收集與該警報相關的相關日志數據，包括文件、進程、命令行、來自進程參數的證據、URL、IP、父進程/子進程以及內存映像等等。

3. 告警調查

自主SOC應該使用AI和各種先進技術分析收集到的每一條證據。這包括沙箱、遺傳密碼分析、靜態分析、開源智能(OSINT)、內存分析和逆向工程。然后使用生成式AI模型，概述這些單獨分析的結果，為事件評估做好準備。

4. 警報分類

自主SOC可對與每個警報相關的風險進行分類，并根據調查結果決定如何上報。此外，自主SOC還應該通過自動修復檢測系統中的誤報來減少干擾信息，降低誤報對運營團隊的影響。

5. 事件響應

針對所有已確認的重要威脅，自主SOC需要提供評估分析和處置建議，并在案例管理系統中創建工單。這包括檢測內容和隨時可用的搜索規則，用于指導響應過程。

6. 分析報告

自主SOC需要生成報告，讓運營團隊了解情況威脅處置情況，并提供后續的優化建議，以便持續改進組織的安全防護策略。

通過上述步驟，自主SOC能夠對海量的警報進行高效篩選，并逐級上報那些真正需要安全專家人工分析的警報。這有助于提升安全運營工作效率，并大大減少花在誤報上的時間。

自主SOC應用實例

走向自主SOC的旅程將是漫長而充滿挑戰的，但是，企業安全運營團隊現在可以從一些基礎的場景入手，為將來廣泛應用打下基礎。以下是自主SOC應用的幾個例子，展示了不同類型的安全團隊或組織如何應用自主SOC戰略。

實例一、與SOAR的自動化聯動

在此場景下，安全團隊仍需要處理許多手工任務，并有大量的誤報。為了縮短平均響應時間，這類企業無法通過構建和維護更復雜的事件響應劇本來實現更多流程的自動化。他們決定使用一種可以與檢測工具集成的自主SOC平臺。

在上圖中可以看到自主SOC產品實現自動化的流程，這將是該團隊運營能力提升的關鍵部分。在實際應用中，組織首先將其與端點安全產品集成，以監控和分類這些警報。當用于端點警報的自主SOC系統取得成效時，接下來可使用SOAR用于上報警報和案例管理。有了這個系統，端點警報的分類時間平均不到2分鐘。一旦分析師對有效實施的自主SOC流程感到滿意，團隊就會集成自主SOC產品，以便攝取和分類用戶報告的網絡釣魚郵件和SIEM警報。

實例二、為MDR服務商賦能

該MDR團隊將采用基于AI的戰略視為改進客戶服務和增加收入的一個競爭優勢。他們需要監控和分類來自許多客戶的警報，這些客戶使用許多不同的工具進行檢測和響應。

通過實施自主SOC戰略，包括使用可與任何客戶工具集成的自主SOC產品，將使他們能夠有效地監控、調查和分類來自多個客戶環境的每個警報，提供基于AI和自動化的快速分類時間。通過AI和自動化提升能力，MSSP團隊可以引入更多的客戶，并處理數量更多的警報，無需招聘和雇用另外的分析師。在實施自主SOC產品后，他們還能夠豐富客戶產品，并提供新的服務，比如能夠處理用戶報告的網絡釣魚郵件。

實例三、獨立的自主SOC應用

最后設想一個SOC團隊已制定了自主SOC戰略。自主SOC產品可以調查和分類來自所有集成檢測系統的警報，并將SOAR用于逐級上報和案例管理。在這些工具完全實施之后，團隊還可以添加AI檢測助手，幫助安全團隊查詢更多信息，不過目前因為AI助手之類的工具非常新穎，還很少有團隊有效地使用。

參考鏈接：https://thehackernews.com/2024/05/how-to-build-your-autonomous-soc.html。