資安營運中心(SOC)正快速導入「代理式SOC」(Agentic SOC)與 AI SOC 代理人。許多新創在近一年多大量投入,主打用 AI 協助警示分級、調查與回應,讓分析人員把時間留給更高價值的工作。
不過,Gartner 在報告中指出,許多企業在評估這類工具時,常被展示情境牽著走,反而忽略真正會影響成效的關鍵問題。研究也預估,到 2028 年約有七成大型 SOC 會試行把 AI 用在第一線與第二線流程,但若缺少結構化評估,真正能量化改善的比例可能不高。
Gartner 建議,評估應先回到
「今天團隊最耗時,且對威脅偵測與回應提升有限」的例行工作。重點不是工具能做什麼,而是它能否實際減少現場負擔,並對既有流程產生可持續的正向影響。
第二個重點是
衡量方式。若只看每月處理多少警示,可能會掩蓋調查品質下降或漏報風險。
Gartner 建議聚焦在威脅偵測與事件回應(TDIR,Threat Detection,Investigation and Response)指標,包含平均偵測時間與平均回應時間,並觀察誤報下降是否同時帶來更好的處置品質。報告也強調,平均控制時間(MTTC,Mean Time to Contain)更貼近風險降低。若廠商只談加速分級,卻不談後續調查與控制流程,評估就容易失真。
第三是
廠商風險。AI SOC 代理人仍屬早期市場,供應商可能被併購或轉向。企業需了解產品正式上線時間,客戶樣貌與財務狀況,並將併購納入第三方風險管理的一部分。費用模型也要先算清楚。有些以警示量計費,有些以資料量或 token 計費。若在高負載下成本飆升,容易影響長期導入。
第四,
AI 應讓分析人員更強,而不是換一種方式變忙。Gartner 建議檢視訓練與啟用資源,並確認 AI 是否能提供可學習的調查脈絡,或協助偵測工程與獵捕。若 AI 把「推理過程」藏起來、只輸出結論,初階人員可能無法累積能力,長期反而會形成新的技術債。
第五是
自主邊界。Gartner 區分「人在迴圈內」(human in the loop)與「人在迴圈上」(human on the loop)。前者每一步都要人核准,後者讓 AI 在一定範圍內自動執行,由人做策略監督。企業需明確定義哪些動作可自動化,哪些必須人工核可,並建立高風險操作的護欄,例如停用帳號或隔離網段。當訊號不明或資料衝突時,系統是否預設升級而非直接動作,也是關鍵。
第六是
整合深度。Gartner 提醒,不要只看 logo 牆,而要實際驗證與 SIEM、端點偵測與回應(EDR)、自動化回應平台(SOAR)與身分平台的原生整合能力。也要確認產品是否要求資料集中,或能在混合架構中跨來源查詢,因為這會直接影響部署複雜度與日常維運。
第七是
透明度與可稽核性。Gartner 建議要求可讀的稽核軌跡,讓每一次自動判斷與動作都能追溯其依據。對受監管產業而言,敏感資料處理與防止模型濫用的控管更是必要條件。若 AI 無法「展示它做了什麼」,分析人員就可能不信任系統,最後仍得重做調查,導入效益也會被抵銷。
整體來看,AI SOC 代理人確實有機會降低調查負荷、縮短回應時間,並協助消化人力無法負荷的大量警示。但 Gartner 提醒,真正的分水嶺在於是否以結果導向的方式驗證,並將整合成本、風險邊界與可觀測性納入決策。
防護與導入建議
- 先盤點 SOC 現有瓶頸,再設計 PoC 情境,避免被展示腳本帶偏
- 指標以 TDIR 與 MTTC 為主,同時檢查調查品質與漏報風險
- 明確定義 human in the loop 與 human on the loop 的範圍,並建立高風險動作護欄
- 要求完整 audit trail 與可解釋性,確保能追溯每一步推理與動作
- 針對 SIEM、EDR、SOAR 與身分平台做整合驗證,並試算高負載下的實際成本
本文轉載自 BleepingComputer。