如今，组织面临着无情的网络攻击，几乎每天都有备受瞩目的漏洞成为新闻头条。回顾在安全领域的漫长旅程，很明显，这不仅仅是人的问题，而是一个数学问题。任何 SOC 都无法在合理的时间范围内手动处理太多的威胁和安全任务。然而，有一种 AI 增强的解决方案，许多人将其称为 SOC 3.0，不仅能够让分析师们事半功倍，还能将安全运营从被动变为主动。本文稍后将详细介绍 SOC 3.0 的变革力量，展示人工智能如何大幅减少工作负载和风险，提供每个 CISO梦寐以求的世界级安全运营。但是，在欣赏这一飞跃之前，重要的是要先了解 SOC 如何随着时间的推移而演变，以及为什么说 3.0 为安全运营的新时代奠定了基础。

几十年来，安全运营中心 （SOC） 一直是保护组织免受网络威胁的第一线。随着威胁变得更快、更复杂，SOC 必须与时俱进。我亲眼目睹了 SOC 演变的三个不同阶段。我喜欢将它们称为 SOC 1.0（传统 SOC）、SOC 2.0（当前部分自动化的 SOC）和 SOC 3.0（AI 驱动的现代 SOC）。

在本文中，我将对每个阶段进行概述，重点介绍四个核心功能：

• 告警分类与修复

• 检测与关联

• 威胁分析

• 数据处理

01

SOC 1.0：传统的手动 SOC

让我们看看最早的SOCs如何处理告警分类与修复、检测和关联、威胁调查和数据处理。

通过手动分类和修复处理嘈杂的告警

在早期，我们在简单的分类上花费了大量的时间。安全工程师生成或配置完告警规则后， SOC团队将在永无止境的噪音洪流中挣扎。误报比比皆是。

例如，每次测试服务器连接到非生产域时都触发告警，那么 SOC 很快就会意识到这是无害的噪音。我们会从日志记录或警报中排除低严重性或已知的测试基础设施。于是来回切换 — “调整这些警报”或排除此服务器！— 成为常态。SOC 资源更多地投资于管理警报疲劳，而不是解决实际的安全问题。

修复也完全是手动的。大多数组织都有存储在 wiki 或 SharePoint 中的标准操作程序 （SOP）。在告警被视为有效后，分析师将遍历 SOP：

• 确定受影响的系统
• 隔离主机
• 重置凭据

• 收集日志以进行取证，依此类推。

这些 SOP 主要存在于静态文档中，每一步都需要人工干预。此过程的主要工具是 SIEM（通常是 QRadar、ArcSight或 Splunk 等平台）与 SharePoint 等用于知识文档的协作平台相结合。

早期 SIEM 和关联挑战

在 SOC 1.0 阶段，检测和关联主要意味着手动编写查询规则。SIEM 需要高级专业知识来构建关联搜索。SOC 工程师或 SIEM 专家编写了复杂的查询逻辑，以连接日志、事件和失陷指示器（IOC）之间的节点。搜索查询中一个遗漏的逻辑运算OR 或不正确的连接可能会导致无数的漏报或误报。复杂性如此之高，以至于组织中只有一小部分专家能够有效地维护这些规则集，从而导致瓶颈和响应时间缓慢。

只有专家进行L2和L3威胁调查

威胁调查需要技术娴熟（且成本高昂）的安全分析师。由于一切都是手动的，因此每个可疑事件都需要高级分析师对日志深入研究、进行查询，并从多个数据源拼凑出故事。没有真正的可扩展性；每个团队只能处理一定数量的告警。初级分析师经常被困在 L1 级的分类中，由于缺乏高效的工具和流程，大多数事件都会上报给更高级的员工。

用于数据处理的手动管道

大数据带来了一些大问题，例如手动数据导入和解析。每个日志源都有自己的集成接口，具有特定的解析规则和索引配置。如果您更换供应商或添加新的解决方案，您将花费数月甚至多个季度进行集成。对于像 QRadar 这样的 SIEM，管理员必须为每个新的日志类型配置新的数据库表、数据字段和索引规则。这很慢、也很脆弱，容易出现人为错误。最后，许多组织使用单独的管道将日志运送到不同的目的地。这也是手动配置的，很可能会在源更改后出现中断。

简而言之，SOC 1.0 的特点是成本高、体力劳动繁重，并且专注于“保持正常运转”，而不是真正的安全创新。

02

SOC 2.0：当前部分自动化的 SOC

SOC 1.0 的挑战激发了创新。该行业以（在某种程度上）自动化关键工作流程的平台和方式做出了回应。

丰富的警报和自动化剧本

随着 SOAR（安全编排、自动化和响应）的出现，SIEM 中的告警开始自动化富化。例如，可以根据威胁情报源和地理定位服务检查告警中的IP 地址，主机名可以与资产清单或漏洞管理数据库相关联。这种额外的上下文使分析师能够更快地确定警报是否可信。自动化 SOP 是另一个重大改进。SOAR 工具允许分析师将他们的一些重复性任务编纂成文并自动运行 playbooks 剧本。SOC 可以依靠自动化脚本来执行部分修复，例如隔离主机或阻止 IP，而不是逐步引用 wiki 页面。

然而，扩充和自动化作之间的决策部分仍然是高度手动的。分析师面前可能有了更好的上下文，但他们仍然必须考虑下一步该怎么做。更糟糕的是，SOAR 工具本身（例如 Torq、Tines、BlinkOps、Cortex XSOAR、Swimlane）需要大量的配置和维护。专业安全工程师必须创建并不断更新playbook。如果单个外部 API 发生更改，则整个工作流程可能会失败。只需更换您的终端节点供应商，就会在 SOAR 平台中导致数周的“赶工”。因此，构建和维护这些自动化的开销并非微不足道。

升级的SIEM：开箱即用的检测和XDR

在 SOC 2.0 中，检测和关联在开箱即用的内容方面取得了关键进展。现代 SIEM 平台和 XDR（扩展检测和响应）解决方案提供针对常见威胁量身定制的预构建检测规则库，为以前必须从头开始编写所有内容的 SOC 分析师节省了时间。Exabeam、Securonix、Gurucul 和Hunters 等工具旨在更无缝地关联来自多个来源（终端节点、云工作负载、网络流量、身份提供商）的数据。Anvilogic或 Panther Labs 等供应商为各种来源提供了全面的规则集库，从而显著降低了编写查询的复杂性。

威胁分析的增量改进

尽管 XDR 取得了进步，但实际的威胁调查工作流程仍然与 SOC 1.0 非常相似。工具集成得更好，更多数据一目了然，但分析过程仍然依赖于手动关联和经验丰富的分析师的专业知识。虽然 XDR 可以更有效地发现可疑活动，但它本身并不能自动执行更深入的取证或威胁狩猎任务。当需要有效解读细微的线索并将多个威胁向量联系在一起时，高级分析师仍然至关重要。

简化的集成和数据成本控制

SOC 2.0 中的数据处理也得到了改进，集成了更多，并更好地控制了多个数据管道。例如，Microsoft Sentinel 等 SIEM 为常用数据源提供自动分析和内置架构。这加快了部署速度并缩短了价值回报周期。CRIBL 等解决方案允许组织一次性定义数据管道，并以正确的格式和正确的扩展将日志路由到正确的目标。例如，单个数据源可能使用威胁情报标签进行扩充，然后发送到 SIEM 进行安全分析，并发送到数据湖进行长期存储。

这些改进当然有助于减轻 SOC 的负担，但维护这些集成和管道仍然很复杂。此外，在基于云的 SIEM 或 XDR 平台中存储和查询大量数据的成本仍然是一个主要的预算项目。

总之，SOC 2.0 在自动扩充和修复手册方面取得了重大进展。但是，批判性思维、情境决策和复杂的威胁分析等繁重的工作仍然是手动且繁重的。SOC 团队为了跟上新威胁、新数据源和维护自动化框架，仍然在不断地追加开销。

03

SOC 3.0：AI 驱动的现代 SOC

进入 SOC 3.0，人工智能和分布式数据湖有望在运营效率和威胁检测方面实现巨大飞跃。

AI驱动的分类和修复

得益于 AI 的突破，SOC 现在可以使用 AI 自动执行大部分分类和分析流程。机器学习模型（在大量正常和恶意行为数据集上进行训练）可以自动对警报进行分类和优先级排序，只需最少的人工干预。AI 模型还包含安全知识，有助于增强人类分析师有效研究的能力，以及将新信息应用于实践的能力。

AI 不是构建僵化的剧本，而是动态生成响应选项。分析师只需单击一下即可查看、修改和执行这些操作。一旦 SOC 团队对 AI 增强的响应获得信任，他们就可以让系统自动修复，从而进一步缩短响应时间。

当然，这并不会让人工监督消失，对 AI 的分类推理和响应建议的人工审查仍会存在，但它确实大大减少了让 SOC 分析师陷入困境的手动重复任务。初级分析师可以专注于更高级别的验证和审核，而AI 则负责繁重的工作。

自适应检测和关联

SOC 3.0 中的 SIEM（和 XDR）层使用 AI/ML 模型（而不是人类专家）创建和维护关联规则，其自动化程度要高得多。该系统不断从真实数据中学习，调整规则以减少误报并检测新的攻击模式。

来自于整个网络空间的持续威胁情报源、行为分析和上下文几乎实时地汇集在一起。此情报会自动集成，因此 SOC 可以立即适应新威胁，而无需等待手动规则更新。

自动深入威胁分析

可以说，最具变革性的变化是 AI 如何实现近乎实时的威胁分析，而无需人为编排。AI 引擎无需编写详细的手册或脚本来调查每种类型的威胁，就可以处理和查询大量数据，并生成上下文丰富的调查路径。

对于 AI 来说，高速深度分析只需一天的工作，因为它可以在几分钟甚至几秒钟内关联来自分布式数据源的数千个事件和日志，从而为分析师提供最具相关性的见解。

最后，SOC 3.0 为初级分析师赋能，因为即使是 L1 级或 L2 级分析师也可以使用这些 AI 驱动的分析能力来处理传统上需要高级工作人员参与的安全事件。该领域的供应商包括提供基于 AI 的安全协作平台和自动化 SOC 平台的初创公司，这些平台可大幅缩短调查时间和 MTTR。

分布式数据湖和优化支出

虽然 AI 驱动型的安全所需的数据量正在不断增长，但 SOC 3.0 依赖于更智能的数据存储和查询方法：

1、分布式数据湖

■ 基于 AI 的工具不一定依赖于单个庞大的数据存储。相反，他们可以查询数据所在的不同位置 - 无论是旧版 SIEM、供应商的折扣计划存储还是您所拥有的 S3 存储桶。

■ 这种方法对于成本优化至关重要。例如，一些 EDR/XDR 供应商（如 CrowdStrike 或 SentinelOne）会为甲方提供免费数据存储，因此将这些数据保存在其本机环境中是经济的。同时，其他日志可以存储在更便宜的云存储解决方案中。

2、灵活的按需查询

■ SOC 3.0 使组织能够“将查询引入数据”，而不是将所有日志强制放入单个昂贵的存储库中。这意味着您可以利用经济高效的S3 存储桶存储大量数据，同时仍然能够近乎实时地快速查询和扩充数据。

■ 还可以通过将数据分布在最合乎逻辑的位置来解决数据驻留和性能问题 - 更靠近源、遵守当地法规，或者在最适合成本/性能权衡的地理位置。

3、避免供应商锁定

■ 在 SOC 3.0 中，您不会被锁定在单个平台的存储模型中。如果您负担不起在供应商的 SIEM 中存储或分析所有内容的费用，您仍然可以选择将其保存在自己的环境中，仍然可以在需要时按需查询。

结论

从 CISO 的角度来看，SOC 3.0 不仅仅是一个流行词。这是现代网络安全自然而然地下一步，使团队能够以更低的成本、更高的准确性和速度处理更多威胁。虽然 AI 不会取代对人类专业知识的需求，但它将从根本上改变 SOC 的运营模式，使安全专业人员能够事半功倍，专注于战略计划，并在当今快速发展的威胁形势下保持更强大的安全态势。