AI SOC 工具因自动化分类而受到批评，并未减少分析师工作量

执行摘要

大多数针对安全运营中心（SOC）市场推广的人工智能工具未能实现有意义的自动化，而是主要作为更快的警报分类系统运作，这些系统并没有减少人类分析师的基本工作量。根据自动化公司Tines的分析，行业专注于使用大型语言模型（LLMs）来总结和优先处理警报，造成了一个“更快的马”问题，加速了现有的低效流程，而不是重新设计它们以实现自主行动。报告认为，真正的效率提升需要端到端的工作流自动化，将检测与补救措施连接起来，跨越不同的安全工具。

技术分析

核心技术批评集中在SOC平台中人工智能的架构实施上。正如Tines分析所详述的，许多供应商正在将LLMs作为现有安全信息和事件管理（SIEM）系统和扩展检测和响应（XDR）平台的一层集成。这些实施通常使用AI来解析和总结传入的警报，更快地为分析师提供上下文。然而，这种方法使得人类操作员成为调查总结警报和执行任何必要的响应行动所需的基本组件，跨越各种控制台和界面。

这造成了瓶颈，因为整体安全响应的速度仍然受到人类认知和手动任务切换的限制。分析将此与所谓的“代理”或工作流自动化进行对比，其中系统本身被授权在集成平台上执行预定义的行动——例如，在CrowdStrike控制台上隔离主机，在防火墙中阻止IP，在Okta中撤销用户的会话——基于高置信度的检测逻辑，而不需要人类逐个点击每个界面。因此，当前AI SOC工具的限制不在于理解警报，而在于缺乏集成的、授权的连接器来自主地根据该理解采取行动。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

这项分析没有描述特定威胁行为者的战术、技术和程序（TTPs），而是批评防御安全运营方法。相关的程序批评是继续依赖于T1057: 进程发现风格的人类手动调查每个警报，即使该警报已经被AI预先分析和总结。提出的替代方案涉及自动化整个TA0040: 影响缓解剧本，如隔离和根除步骤，这将代表向更自动化的安全运营转变。

威胁行为者背景

这份报告没有将活动归因于特定的威胁行为者或团体。背景是更广泛的防御行业努力跟上攻击自动化的步伐。论点暗示，未能从AI辅助分类转变为自动化响应的防御者将保持结构性劣势，对抗越来越多地自动化自己的攻击链以提高速度和规模的对手。

缓解措施与建议

Tines的分析建议组织应根据SOC工具通过自动化行动减少平均响应时间（MTTR）的能力来评估它们，而不仅仅是平均确认时间（MTTA）。关键建议包括：

• **审计自动化范围：**审查供应商关于“AI自动化”的声明，以确定技术是否仅总结数据，或者可以在您的关键安全和IT系统上执行批准的响应行动。
• **优先考虑集成深度：**根据工具与现有安全堆栈组件（例如，EDR、IAM、电子邮件安全、云控制台）的预构建、授权集成的广度和深度来选择工具。
• **构建可操作的剧本：**开发和编纂高置信度的检测到响应工作流程，这些工作流程可以安全自动化，从常见和明确的攻击模式开始。
• **衡量工作量减少：**将SOC指标从警报量和分类速度转移到分析师工作量减少和不需要手动干预即可关闭的事件百分比。