代理式 SOAR 是保安協調、自動化及回應技術,利用人工智能自動評估威脅、作出知情決定及即時作出回應,而無須人工干預。
目錄
傳統 SOAR 是專為減低保安運作中心的工作負載而設計。它與保安資訊及事件管理(SIEM)、用戶端保安及其他保安工具整合,以自動化方式根據預建的程序手冊啟動回應。雖然 SOAR 自動化能提高效率,但亦為保安團隊帶來挑戰,包括:
- 高警示量、誤判及分類要求,令分析師要花時間應對
- 人力密集的程序手冊維護
- 無法動態回應新興攻擊
代理式 SOAR 比傳統 SOAR 更進一步。它讓機構從靜態劇本轉至動態的自主系統,根據情境的理解作出智能決定。它可調查威脅、分類威脅及選擇適當的管控回應,而完全無須人手干預。
代理式 SOAR 如何改變保安運作
如前所述,傳統 SOAR 的其中一個限制是它在靜態程序手冊上運作,需要手動更新來回應新的或新出現的威脅。這在需要推理或決策的複雜情境中降低其有效性。即使使用傳統的 SOAR,分析師仍須介入,尤其是在調查、分類或邊緣案件方面。
代理式 SOAR 利用推理驅動調查來分析及分類威脅、作出決定及在無須人工干預的情況下作出調整。警示會先向人工智能代理而非人類分析師發出。代理使用大型語言模型、歷史及行為背景、威脅情報源等外部資料及一系列測試來分類警示的嚴重性。然後,他們製作了一份可讀、詳細的報告,說明他們的發現和理由。此時,分析師需要參與審查調查結果。在某些情況下,代理式 SOAR 可以採取補救行動,完全無需人手干預。
代理式 SOAR 的主要功能
代理式 SOAR 的獨特之處在於其自主權和精密理由。系統特點是:
- 學習及推理—系統設計旨在從每個活動中持續學習,提供情境記憶。它利用機器學習及大型語言模型建立邏輯,並解釋其決策過程。
- 自動分類——人工智能透過運用情境分析、進行動態調查及從多個來源合成資料來得出結論及實施或推薦行動,分析及優先處理威脅。
- 即時威脅回應—代理式 SOAR 會根據其所發現的資料,即時動態建立及更改回應方案。
- 整合—代理式 SOAR 與機構現有的保安方案整合,與EDR、SIEM 及雲端平台等工具無縫互動。
- 多位代理——每位人工智能代理均接受特定調查、分類或回應階段的培訓,包括從情報收集及風險評估,以至分享及協作。
- 用戶友好界面——使用自然語言處理使分析師能夠輕鬆提示代理,並使分析師了解代理的推理。
代理式 SOAR 的優勢
雖然傳統 SOAR 對保安運作中心來說是一大進步,但它卻有其限制。相比之下,代理式 SOAR 的好處包括:
- 快速回應時間——平均偵測時間及平均回應時間均有顯著改善。
- 風險降低——正確識別及分類威脅的準確度更高,以及偵測可能錯過的潛在威脅的準確度更高。
- 提高生產力和士氣——優化營運和人力資源,分析師時間從管理警示轉變為策略考慮因素。
- 可擴展性:不需新資源就能回應新興攻擊及管理不斷成長的受攻擊面。
- 持續學習 — 持續獲取知識,建立專門針對機構及行業的知識庫。
實施代理式 SOAR 的最佳做法
與任何新技術一樣,實施代理式 SOAR 都存在障礙。由於人工智能控制決策、行動、管治、監督及可靠性,因此可能帶來獨特的挑戰。保安及私隱亦令人擔憂,因為人工智能需要存取大量敏感數據。將代理式 SOAR 與舊版系統整合亦可能出現問題。
考慮到這些挑戰,以下是一些實施代理式 SOAR 的最佳做法:
- 評估—確定當前需求和當前 SOAR 成熟度。根據機構的需要及方案的實證結果審查方法。考慮試行計劃。
- 管治——為自主決策建立明確的監督。概述角色、責任及道德指引。
- 人際關係 — 確保分析師繼續參與、審查及監控。
- 保安及合規—實施強大的加密、存取控制及定期漏洞評估。
- 測試與驗證—設定評估有效性的成功指標。定期進行全面測試及審查。
使用代理式 SOAR 為未來做好準備
隨著網絡罪犯利用人工智能來製造更精密的攻擊,機構需要接受保安運作中心的代理式技術的力量。代理式 SOAR 將透過提升威脅偵測的準確性、加快管控速度及減輕對人類的負擔來改變保安運作。這讓分析師可以專注於策略活動,例如威脅捕獵、分析風險趨勢及發展更廣泛的跨職能技能。
然而,保安團隊不應在代理或人手方案之間作出選擇。最成功的組織將是採用混合方式,利用人工智能豐富活動管理,同時讓人員處於審查及作出最終決定的循環之中。
我可以在哪裡獲得代理式 SOAR 的協助?
使用正確的技術至關重要。Trend Vision Onea™ Agentic SOAR 讓團隊能超越靜態劇本,成為全面人工智能驅動的保安運作中心,即時調查、分類及回應。結合人工智能的調查、端到端的保安運作中心自動化、連繫的生態系統及創建自然語言劇本,您可以減少手動工作負載,並讓您的保安團隊專注於策略優先項目,而毋須在警報堆中掙扎。
Jayce Chang
產品管理副總裁
Jayce Chang 是產品管理副總裁,專長於保安運作、XDR 及 Agentic SIEM/SOAR。
常見問題
代理式是什麼意思?
Agentic 來自“agency”這個詞,意思是行動的力量。因此代理式 SOAR 是指可以獨立運作的 SOAR 方案。
什麼是代理式行為?
代理式行為描述人工智能系統在沒有人為干預的情況下作出決策、採取行動及適應環境變化的能力。
SOAR 的意思是什麼?
SOAR 代表保安協調、自動化及回應,並指整合保安工具及自動化任務的網絡保安方案,令保安運作更有效率。
SOAR 代表甚麼?
SOAR 縮寫代表保安協調、自動化及回應。
代理式行為的例子是什麼?
代理式行為的例子包括沒有用戶提示的數碼助理排程警報、選擇駕駛路線的自動駕駛汽車或資訊科技系統變更交通路線。
代理式學習的例子是什麼?
代理式學習的一個例子是虛擬助理,它注意到用戶的重複行動、會議和位置,並自動為他們設置警示。
哪三個代理式框架?
代理框架有很多。其中三個最常被提及的就是 Microsoft AutoGen、CrewAI 及 LangGraph。
代理式工作流程的含義是什麼?
代理工作流程是人工智能代理用於自動收集資料、作出選項及啟動任務的過程,而無須人為干預。
代理式工作流程的例子是什麼?
網絡保安代理流程的例子包括人工智能代理自動檢查保安警報、關聯來自不同來源的數據,然後選擇並啟動遏制行動。
工作流程與代理式程式有何不同?
工作流程是一系列預先確定的任務。代理系統由自主人工智能組成,可以選擇最適合背景的行動。