AI 现在能做什么？！自主AI是安全运营的未来

自主AI在网络安全领域承诺将彻底改变我们所熟知的工作流程，使个性化、自动化、效率和创新达到了新的高度。

目前，安全团队已经在利用自主AI来实现各种应用场景，比如自动化威胁检测与响应、先进的威胁狩猎、自动化事件调查、实时欺诈保护等。

那么，自主AI是如何超负荷运作，帮助安全分析师构建更有韧性的安全态势呢？在最近一期的 AI 现在能做什么？！ 中，Elastic 的安全解决方案架构师 Anas Khatri 解释了自主AI如何应对技能短缺、缓解警报疲劳管理，并提升现有AI安全工具的效能。

自主AI在SOC操作中的应用

在SOC（安全运营中心）操作中，AI代理旨在解决最顽固的网络安全挑战。Khatri 说道：“我们一直在努力解决这些挑战，而自主AI似乎能够真正突破这些界限，帮助我们跨越障碍。”

AI代理不再依赖静态的操作手册，而是能够自主分析威胁、收集上下文信息，并根据发现调整其行为。

自主AI安全工具通过组合多种关键组件，从根本上改变了安全操作：

• 大语言模型（LLMs）: LLM（一个或多个）提供推理和生成能力。
• 自动化工作流程: 一旦LLM生成事件响应结果，安全分析师需要一个工作流程来帮助决定采取哪些行动。像 Elastic 这样的安全平台使用开放的自主框架来构建有目的的自动化工作流程。
• API: AI代理需要与现有的安全工具进行连接。
• 检索增强生成（RAG）: 作为最重要的部分之一，RAG为每个AI答案提供正确的上下文，以确保其准确性。

AI代理在警报分类上表现出色，能够自动丰富威胁情报，并根据观察到的模式持续优化检测规则。它们能够解释上下文，选择最佳的丰富来源，并反复优化结论，模仿安全分析师的工作。

如何在SOC中整合AI：为自主AI的未来做好准备

Khatri指出：“安全分析师不必担心自主AI会取代他们。AI代理只是另一个总是在线的智能分析师。减少人类分析师的数量或替代他们不是使用这个工具的正确方法。”

相反，Khatri解释，自主AI在SOC操作中增强了安全分析师的能力。通过自动化日常或耗时的任务，AI代理释放了人类分析师的精力，让他们能够专注于复杂的调查和战略性安全决策。对于管理层来说，更有效地利用人力和技术可以提升运营效率。

自主AI不仅仅是增强安全分析师的工作，它还能支持现有的每一个安全工具，简化你的工具包和工作流程。虽然现在完全用AI代理取代每一个工具还为时过早，但出于最佳的网络安全利益，你应该开始采用这项技术。

Khatri说：“如果你还没有这样做，攻击者已经在使用自主AI和LLMs来更快地攻击你。这不是一个选择，而是必须要用正确的自主AI与现有的SOC工具结合。否则，你将被甩在后面。”

最终，网络安全团队应该将自主AI视为可以咨询的另一个聪明同事，用于寻找答案和优化。自主AI工具将支持你的安全分析师，而不是取代他们。通过使用AI代理来增强你的工具，你可以加强你的安全态势，并领先于潜在的攻击者。

观看 AI 现在能做什么？！- 自主AI 这一集，了解为什么现在是为安全运营的未来做准备的时候，以及今天应如何使用自主AI。