top of page
blog_banner-1980x300.png

【Intezer AI SOC】資安告警分級與應變的未來趨勢

  • 作家相片: Estrella Wei
    Estrella Wei
  • 9月23日
  • 讀畢需時 5 分鐘

已更新:9月26日


作者:Itai Tevet | 編譯:AIShield 編輯部 | 發稿日期:2025 年 9 月 23 日


AI SOC 協助資安分析師解決告警疲勞
圖片出自:AIShield

什麼是 AI SOC?


AI 資安維運中心(AI SOC) 旨在將人工智慧融入傳統資安維運中心(SOC)的框架中,藉此提升資安維運效能。透過自動化告警分級、調查與應變等任務,AI SOC 能顯著提高偵測與應對威脅的效率與成效。


AI SOC 的核心目標是處理 SOC 的第一線維運任務,例如篩選與優先排序海量告警,確保只有真正高風險的事件,才會呈報給資深分析師進行深入調查與處理。


這項技術能讓資安團隊更好地應付日益暴增且狡猾的網路威脅,不僅加快應變速度、減輕維運負擔,更能讓資深專家的專業發揮最大價值。



為什麼企業需要 AI SOC?


隨著網路威脅日益複雜,傳統 SOC 模式已難以跟上現代攻擊的規模與速度。告警疲勞、資源受限以及資安人才短缺等困境,都讓企業難以維持強韌的防禦力。



AI SOC 如何解決這些關鍵挑戰:


  • 減少告警疲勞:AI 依據風險高低排定告警優先順序,讓分析師能專注於處理關鍵威脅。

  • 擴大資安維運規模:AI 讓企業能處理更多威脅,同時不必大幅增加人力。

  • 提升準確性:AI 能降低人為疏失,確保威脅偵測與應變的可靠性。



AI SOC核心功能
圖片出自:AIShield

核心功能


  • 自動化告警調查:AI 系統不僅能分級,更能進行深入調查,包括蒐證與分析。這確保了事件能被徹底檢視,並提供可據以行動的洞見,大幅省去手動作業的工夫。

  • 事件自動呈報:AI SOC 能與個案管理解決方案整合,針對需要處理的事件自動建立工單,確保關鍵事件能順暢地呈報給資深分析師或應變團隊,同時減少雜訊。

  • 自動化應變:AI SOC 能執行預先定義好的應變措施,從停用遭盜用的帳號等簡單任務,到協調多系統的複雜工作流程都能包辦。這種快速應變能力能有效降低威脅可能造成的衝擊。

  • 組織智慧學習:AI 能持續從使用者回饋、歷史事件數據及其他資料中學習,藉此提升準確性並適應組織的特定環境。這種隨著時間不斷優化與客製化決策的能力,能確保 SOC 始終與組織需求及不斷演變的威脅環境同步。


這些功能讓 AI SOC 能全面提升維運效率與應變時間,同時優化資深分析師的角色,讓他們能專注於更具策略性的資安挑戰。



AI SOC 在資安維運堆疊中的定位


AI SOC 和自動化 SOC 解決方案在現代資安堆疊中扮演關鍵角色,透過先進的告警分級,彌補了偵測系統事件應變流程之間的缺口。


以下是它們如何與資安堆疊其他層級整合:


  • 偵測層:SIEM、XDR 和新一代 SIEM 等工具從原始日誌、告警與遙測數據中生成並凸顯威脅。這些系統將資料轉化為偵測結果,並提供可供分析的情報。AI SOC 能無縫地從這些系統接收告警,從偵測結束的地方無縫接手。

  • 分級層:傳統上,分級工作是由內部或委外的 SOC 第一、二線分析師手動執行。AI SOC 扮演關鍵的中間角色,確保只有相關且豐富的告警才會進入下一階段調查,並自動執行以下關鍵分級活動:

    • 判斷告警有效性:決定哪些告警是真實的,需要呈報。

    • 提供告警情境:豐富數據內容,為事件應變提供有意義的洞見。

    • 初步阻擋:進行初步應變,限制潛在威脅的衝擊。

  • 事件應變層:分級後,呈報的事件會交由第三線分析師或 SOAR(資安協調、自動化與應變)等自動化工具處理。他們專注於更深入的調查、高階威脅獵捕與協調應變工作流程。AI SOC 會將經過整理、排序的告警資訊傳送至此層,促成更快、更明智的行動。


透過在分級層運作,AI SOC 能加速工作流程並減輕分析師的負擔,讓資安團隊能保持專注並有效率。



如何挑選適合的 AI SOC 解決方案?


選擇適合的解決方案對於強化組織的資安維運至關重要。評估選項時,有三個關鍵指標最為重要:


  1. 呈報率

呈報率指的是 AI SOC 接收到的告警中,呈報給團隊的比例。較低的呈報率代表 AI SOC 能有效地自主處理大部分告警,從而減輕團隊的工作量。然而,必須在兩者間取得平衡:太低可能漏掉關鍵事件,太高則團隊仍會面臨告警疲勞。

  • 為什麼重要:AI SOC 應扮演減輕工作量的角色,讓分析師能專注於高優先級的威脅,同時過濾掉無用的雜訊。


  1. 準確性

AI SOC 的準確性是建立信任的關鍵。這包括真陽性(True Positive, TP) 準確性(辨識真實威脅的能力)和假陽性(False Positive, FP) 準確性(有效排除良性告警的能力)。高準確性確保團隊只會收到可靠的呈報,避免浪費時間處理不相關或不準確的告警。

  • 為什麼重要:判斷越準確,團隊就越能信賴 AI SOC 的自動化告警分級與應變能力。


  1. 平均調查時間

此指標衡量 AI SOC 調查告警並做出最終判斷所需的時間。更快的調查時間意味著更迅速的應變,這對於有效防堵真實事件至關重要。

  • 為什麼重要:即使只有幾秒鐘的應變時間差異,也可能決定能否有效阻擋或造成高昂代價的資料外洩。



Intezer 的 AI SOC 表現如何?


根據 Intezer 2024 年的標竿數據,我們的表現如下:


  • 呈報率:3.81%

  • 假陽性準確性:97.7%

  • 真陽性準確性:93.45%

  • 平均調查時間:2 分 21 秒(中位數 15 秒)


這些數據凸顯了這項技術的潛力,證明自動化告警分級並非遙不可及的幻想,而是已經實現的現實。有了這樣的表現,企業可以減少對人力吃緊團隊的依賴,並專注於處理高價值的任務。



結語:用 AI 翻轉資安維運


AI SOC 正透過自動化告警分級、呈報與應變,翻轉資安領域。藉由與既有偵測系統的無縫整合,並與資深分析師並肩作戰,它讓企業能更有效地管理威脅,解決資安團隊長期面臨的人力短缺困境。


Intezer 致力於走在資安自動化的最前線。我們的 AI SOC 解決方案,能處理重複、繁瑣的告警分級與假陽性排除等任務,同時讓大家對 AI 的準確性與可靠性充滿信心。


想了解我們的 AI SOC 如何強化您的資安維運,歡迎隨時與我們聯繫


本文翻譯自 Intezer 原文:“AI SOC: The Future of Alert Triage and Incident Response

發佈日期:2025 年 1 月 30 日


bottom of page