破解三大运营难题，奇安信发布AI+SOC智能安全运营方案

奇安信发布的“AI+SOC智能运营方案”，它以NGSOC+QAX-GPT的深度集成方案为基础,推出智能分诊、智能研判、智能调查、智能响应等四大核心功能，将AI与自动化的设计理念，贯穿威胁检测、调查与响应（TDIR）的全流程，实现安全运营工作十倍、百倍、千倍的效率跃升。

 7月3日，2024全球数字经济大会在京举行，在成果展上，奇安信对外发布AI+SOC智能安全运营方案。该方案通过QAX-GPT机器人和NGSOC产品的深度融合，结合“人工智能模型”和“安全专家经验模型”，可以实现智能分诊、智能研判、智能调查、智能响应等四大功能，旨在解决安全运营工作中海量告警处理难、设备数据联动难、事件响应闭环难等三类难题，驱动安全运营从“密集型”向“智慧型”升级,并实现十倍、百倍、千倍级的效率跃升。 

 

3000多家安全运营中心调查：三大难题成为困扰

“根据奇安信NGSOC在国内建立的3000多家安全运营中心的实际运营情况和客户反馈来看，主要存在三大困扰，分别是‘追求不漏、反成高漏’，‘数据孤立、关联不上’，‘响应滞后、无法闭环’。”奇安信集团NGSOC产品总监黄巍表示，当前企业在体系化安全运营建设中，除了告警疲劳、效率瓶颈和专家短缺等现状之外，还有数据整合难，设备联动难，事件闭环难等多重难题。

 

首先是追求不漏，反成高漏。随着政企机构网络安全建设的逐渐成熟，其部署各类安全设备为了避免业务系统遭受网络攻击，告警和日志从追求“零误报”变成追求“零漏报”，从而产生了海量告警。但由于安全人力不足，无法对海量告警进行全量研判，导致“追求不漏反倒成了高漏”。

其次是设备孤立，关联不上。调查显示，当前许多政企机构部署的安全产品是“大杂烩”，产品、技术、运营标准均不一致，信息质量参差不齐，不同厂商、不同品牌、不同设备读不懂彼此数据，这样就造成数据关联不上、设备彼此孤立、体系化联动形同虚设。即便是部署了AI，也无法读懂“多国语言”，全局研判和协同联动更是无从谈起。

第三是响应滞后，无法闭环。目前很多央企和金融客户尽管数字化和网络安全建设成熟度较高，但事件响应效率还远跟不上实际需求。事件调查、响应处置、影响面和风险评估等环节的人工处理耗费了大量时间，并且严重依赖专家经验。比如遏制威胁方面，人工至少需要10分钟以上；普通事件调查需要30分钟到2小时，评估事件影响面和潜在风险，需要一人一天，复杂攻击事件的调查取证过程长达1周甚至更久。这显然无法满足AI时代的分秒级攻防响应需求。 

四大核心功能，助力运营效率最高千倍级跃升

为解决以上难题，奇安信发布的“AI+SOC智能运营方案”，它以NGSOC+QAX-GPT的深度集成方案为基础,推出智能分诊、智能研判、智能调查、智能响应等四大核心功能，将AI与自动化的设计理念，贯穿威胁检测、调查与响应（TDIR）的全流程，实现安全运营工作十倍、百倍、千倍的效率跃升。

 

首先，智能分诊功能支持前置过滤，可准确识别1%高价值威胁，节省100倍分析时间，还能解决不同设备、不同数据格式的标准化难题。

黄巍举了一个形象的例子，智能分诊就像医院的分诊台和挂号系统，根据病人状况的轻重缓急，或去急诊室、或去发热门诊、或去消化门诊，甚至可以回家观察无必要打针吃药，这样才能避免资源浪费。如果没有这样的分诊系统，医院将会乱套，医生也一定会忙不过来。

智能分诊可准确识别1%的高价值告警，消除90%以上告警噪声，帮助分析师快速聚焦有效威胁，节省100倍的分析时间。同时，智能分诊作为AI研判的前置过滤子系统，筛掉明显误报、无效告警，大大减少了AI大模型的算力浪费，将优先的算力资源用于高价值威胁的精准定位上，真正实现“无效告警不阻塞，关键告警不漏报”。

同时，智能分诊集成在NGSOC当中，可以广泛汇聚来自不同厂商、不同检测设备，如IPS、WAF、EDR、NDR、VPN的告警数据，依据国家标准进行了标准化、归一化、去厂商化，将“各国方言”都变成“普通话”，为AI研判或者人读数据奠定基础。

其次，智能研判实现效率比人类提升60倍，误报率不到人类的一半，漏报率降至0.5%。

AI+SOC整合的智能研判功能，通过NGSOC与QAX-GPT机器人双向的API集成，7×24不间断发送经过分诊后的高价值告警，进行实时研判，给出准确的定性结论和报告，安全机器人研判能力接近“中级安全专家”水平，每天可研判35000条以上的告警，研判数量是人类分析师的300倍，单一威胁告警的平均处理时间减少98%，研判漏报率仅为0.5%，研判误报率不到人类分析师的一半，综合研判效率是人类的60倍。

 

再次，智能调查依托自然语言对话和自动化处理，缩短近千倍调查时长。

AI+SOC推动安全运营从“密集型”向“智慧型”升级。NGSOC汇集了终端、流量检测、服务器、应用、VPN、身份访问、AD域的各类日志和告警，以及资产、网段、漏洞和部门组织的全量信息，有了足够的信息输入和高质量、标准化的数据，AI可以在NGSOC上依据不同的场景，自动收集和聚合上下文相关告警和日志，找到威胁发生的前因后果、梳理出来龙去脉、并绘制出攻击链路图，让更多的普通分析师找得到、看得懂。对于复杂问题，AI+SOC可以将整个调查和影响面评估的过程从过去的一天乃至一周时间，缩短至分钟级，效率实现千倍跃升。

最后，智能响应支持上千种响应指令下发，将处理时间从天级缩短至秒级，闭环效率跃升近千倍。

AI+SOC不仅可以实现全自动化的响应流程，还能够对接防火墙、WAF、EDR、NDR、威胁情报、工单系统、即时通讯等190余种外部系统或APP，完成上千种响应指令的下发，实现安全运营高效闭环，处理时间可能从过去的一天，缩短到分钟级甚至秒级，实现响应闭环效率千倍提升。

 

总体来看，奇安信发布的由QAX-GPT和NGSOC构成的“奇安信AI+SOC 智能安全运营方案”实现了告警的智能分诊与研判、事件的智能调查与响应，可实现安全运营十倍、百倍、千倍的效率跃升，为广大政企机构筑牢AI时代的安全底座。