当前，企业安全运营中心（SOC）的运营人员往往会被淹没在大量数据和警报中，因此很难及时洞察一些真正有威胁的安全漏洞。在此背景下，一些安全厂商开始全力投入研发一种“自主SOC”。相比传统SOC方案，自主式SOC应用仅需较少的安全人员即可高效运行，从而降低企业安全团队的运营难度。

自主SOC的目标定位

当企业开启安全运营自动化之旅时，首先应该明确要自动化技术实现的安全运营目标，然后根据目标来制定自动化运营的关键流程。

自主SOC的一个核心目标是将各种安全警报进行聚合分类，并在警报处理的各个环节中实现自动化，减少人工干预。

自主SOC的目标不是用AI技术取代现有的安全团队和人员，而是通过整合人员、流程和技术来更好地保护组织。专业的人才是安全运营工作不可或缺的因素。自主SOC可以使安全专业人员花费更少的时间来执行冗余任务，将更多的时间集中在更高价值的战略计划上。

自主SOC应该为现有的安全团队提供更多服务和支持，并使用适合组织流程的技术，使人员的工作更轻松，并提升其能力。

通过自主SOC，组织可以整合所有的数据源，以提供统一、自动化的分类体验，改进调查、支持分析师并缩短响应时间。因此，自主SOC需要具备一些更先进的技术能力，主要包括：

1. SOAR产品：这是一个成熟的产品类别，许多SOC团队都使用了安全编排自动化和响应（SOAR）工具自动处理任务。但这此过程中颇有挑战性，因为SOAR通常技术含量高或需要构建复杂的剧本。一些创新的SOAR产品集成了AI工具，或者提供预构建的剧本和无代码工具，以简化某些流程的自动化。

2. 自主SOC工具：这是一个较新的产品类别，使用原生自动化工作流和AI来摄取、调查和分类警报。这个领域的最新初创公司成立于2023年或2024年，使用基于生成式AI的技术。更成熟的自主SOC产品已集成了生成式AI，用来补充遗传分析或机器学习等核心技术。

3. AI助手产品：这是最新的类别，出现于2023年。新的助手工具可以使用生成式AI来协助分析师，这样他们可以在调查期间轻松查询系统以获得答案。这类工具可能会与其他工具集成，加快事件响应或自主采取行动，但目前尚不清楚这些AI助手会变得多么有效或流行。

自主SOC的关键流程

自主SOC并意味着将安全运营的每个流程都完全自动化，至少在短期内想做到这一点并不现实。自主SOC的关键是将一些大量重复且费力的工作自动化，这些工作往往会占用安全分析师的大量工作时间。

1. 持续监控

自主SOC需要7*24小时全天候持续监控和收集来自各种安全工具的警报信息，确保没有潜在的威胁被忽视。

2. 收集证据

在收到警报信息后，自主SOC还需要收集与该警报相关的相关日志数据，包括文件、进程、命令行、来自进程参数的证据、URL、IP、父进程/子进程以及内存映像等等。

3. 告警调查

自主SOC应该使用AI和各种先进技术分析收集到的每一条证据。这包括沙箱、遗传密码分析、静态分析、开源智能（OSINT）、内存分析和逆向工程。然后使用生成式AI模型，概述这些单独分析的结果，为事件评估做好准备。

4. 警报分类

自主SOC可对与每个警报相关的风险进行分类，并根据调查结果决定如何上报。此外，自主SOC还应该通过自动修复检测系统中的误报来减少干扰信息，降低误报对运营团队的影响。

5. 事件响应

针对所有已确认的重要威胁，自主SOC需要提供评估分析和处置建议，并在案例管理系统中创建工单。这包括检测内容和随时可用的搜索规则，用于指导响应过程。

6. 分析报告

自主SOC需要生成报告，让运营团队了解情况威胁处置情况，并提供后续的优化建议，以便持续改进组织的安全防护策略。

通过上述步骤，自主SOC能够对海量的警报进行高效筛选，并逐级上报那些真正需要安全专家人工分析的警报。这有助于提升安全运营工作效率，并大大减少花在误报上的时间。

自主SOC应用实例

走向自主SOC的旅程将是漫长而充满挑战的，但是，企业安全运营团队现在可以从一些基础的场景入手，为将来广泛应用打下基础。以下是自主SOC应用的几个例子，展示了不同类型的安全团队或组织如何应用自主SOC战略。

实例一、与SOAR的自动化联动

在此场景下，安全团队仍需要处理许多手工任务，并有大量的误报。为了缩短平均响应时间，这类企业无法通过构建和维护更复杂的事件响应剧本来实现更多流程的自动化。他们决定使用一种可以与检测工具集成的自主SOC平台。

在上图中可以看到自主SOC产品实现自动化的流程，这将是该团队运营能力提升的关键部分。在实际应用中，组织首先将其与端点安全产品集成，以监控和分类这些警报。当用于端点警报的自主SOC系统取得成效时，接下来可使用SOAR用于上报警报和案例管理。有了这个系统，端点警报的分类时间平均不到2分钟。一旦分析师对有效实施的自主SOC流程感到满意，团队就会集成自主SOC产品，以便摄取和分类用户报告的网络钓鱼邮件和SIEM警报。

实例二、为MDR服务商赋能

该MDR团队将采用基于AI的战略视为改进客户服务和增加收入的一个竞争优势。他们需要监控和分类来自许多客户的警报，这些客户使用许多不同的工具进行检测和响应。

通过实施自主SOC战略，包括使用可与任何客户工具集成的自主SOC产品，将使他们能够有效地监控、调查和分类来自多个客户环境的每个警报，提供基于AI和自动化的快速分类时间。通过AI和自动化提升能力，MSSP团队可以引入更多的客户，并处理数量更多的警报，无需招聘和雇用另外的分析师。在实施自主SOC产品后，他们还能够丰富客户产品，并提供新的服务，比如能够处理用户报告的网络钓鱼邮件。

实例三、独立的自主SOC应用

最后设想一个SOC团队已制定了自主SOC战略。自主SOC产品可以调查和分类来自所有集成检测系统的警报，并将SOAR用于逐级上报和案例管理。在这些工具完全实施之后，团队还可以添加AI检测助手，帮助安全团队查询更多信息，不过目前因为AI助手之类的工具非常新颖，还很少有团队有效地使用。

参考链接：

https://thehackernews.com/2024/05/how-to-build-your-autonomous-soc.html