安全编排、自动化和响应 (SOAR) 的推出有望通过自动化、减少手动工作量并提高效率来彻底改变安全运营中心 (SOC)。然而，尽管经历了三代技术和 10 年的进步，SOAR 尚未完全发挥其潜力，使得 SOC 仍在应对许多相同的挑战。采用 Agentic AIa 新方法，最终可以实现 SOC 期待已久的愿景，提供更具动态性和适应性的解决方案来有效地自动化 SOC 操作。

三代 SOAR 仍达不到要求#

SOAR 于 2010 年代中期与 PhantomCyber​​、Demisto 和 Swimlane 等公司一起出现，承诺自动化 SOC 任务、提高生产力并缩短响应时间。尽管有这些雄心壮志，SOAR 在自动化威胁情报传播等通用任务方面取得了最大的成功，而不是核心威胁检测、调查和响应 (TDIR) 工作负载。

SOAR 的演变可分为三个阶段几代：

• 第一代（2010 年代中期）：早期的 SOAR 平台具有静态剧本、复杂的实现（通常涉及编码）和高维护要求。除了简单的用例（例如网络钓鱼分类）之外，很少有组织采用它们。
• 第二代（20182020）：此阶段引入了无代码、拖放编辑器和广泛的剧本库，减少了对工程资源的需求并提高采用率。
• 第三代（2022 年）：最新一代利用生成式人工智能 (LLM) 自动创建剧本，进一步减轻技术负担。

尽管如此尽管取得了进步，SOAR 对 SOC 自动化的核心承诺仍未实现，原因我们稍后会讨论。相反，每一代都主要提高了 SOAR 的操作简便性并减轻了工程负担，但没有解决 SOC 自动化的基本挑战。

为什么 SOAR 没有成功？#

当寻求在回答“为什么 SOAR 没有解决 SOC 自动化问题”的问题时，记住 SOC 工作由大量活动和任务组成，每个 SOC 中的活动和任务都不同，这会很有帮助。一般来说，警报处理中涉及的 SOC 自动化任务分为两类：

• 思考任务，例如：弄清楚某件事是否真实、确定发生了什么、了解范围和影响、制定响应计划等。
• 执行任务，例如：采取响应行动、通知利益相关者、更新记录系统等。

SOAR 有效地执行“做”任务，但在“思考”任务上遇到困难。原因如下：

• 复杂性：思考任务需要更深入的理解、数据综合、学习模式、工具熟悉程度、安全专业知识和决策。创建能够复制这些特征的静态剧本即使不是不可能，也是很困难的。
• 不可预测的输入：SOAR 依赖可预测的输入来获得一致的输出。在安全领域，异常是常态，处理极端情况的剧本变得越来越复杂。这会导致较高的实施和维护开销。
• 定制：开箱即用的剧本很少能按预期工作。由于上一点，他们总是需要定制。这使得维护负担很高。

通过自动化“思考任务”，整个 SOC 工作流程的更多部分可以实现自动化。

调查：SOC 的最薄弱环节#

安全操作的分类和调查阶段充满了在响应工作开始之前发生的思考任务。这些思维任务抵制自动化，迫使人们依赖手动、缓慢且不可扩展的流程。这种手动瓶颈依赖于人类分析师，并阻止 SOC 自动化：

• 显着缩短响应时间，缓慢的决策会延迟一切。
• 实现有意义的生产力提升。

为了实现 SOAR 最初的 SOC 自动化承诺，提高 SOC 速度、规模和生产力，我们必须专注于在分类和调查阶段实现思维任务的自动化。成功的自动化调查还可以简化安全工程，因为剧本可以专注于纠正措施而不是处理分类。它还提供了完全自主的警报处理管道的可能性，这将大大减少平均响应时间 (MTTR)。

关键问题是：我们如何有效地自动化分类和调查？

>

代理人工智能：SOC 自动化中缺失的环节#

近年来，大型语言模型 (LLM) 和生成式人工智能已经改变了各个领域，包括网络安全。AI 擅长在 SOC 中执行“思考任务”，例如解释警报、进行研究、综合多个来源的数据以及得出结论。它还可以接受 MITRE ATT 等安全知识库的培训