AI驱动的SOC:公共部门的新网络安全防御
TL;DR · AI 摘要
AI驱动的SOC成为公共部门应对AI网络威胁的新范式,通过自动化与人类协作降低碎片化成本并提升响应速度。
核心要点
- 66%的SOC每周损失1天时间整合分散工具数据
- AI处理威胁全生命周期,人类负责验证与审批
- Elastic平台采用'人类主导'的协作模式
结构提纲
按章节快速跳转。
AI攻击工具使安全响应时间从小时级压缩至秒级
现有安全架构无法应对AI生成的复杂攻击模式
通过自动化工作流与人类协作实现威胁全生命周期管理
66% SOC因工具分散导致数据整合耗时
AI处理技术细节,人类负责决策验证
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- Agentic SOC
- 核心价值
- 降低碎片化成本
- 提升响应速度
- 技术架构
- AI自动化处理
- 人类决策验证
金句 / Highlights
值得收藏与分享的关键句。
由大型语言模型构建的钓鱼攻击点击率比传统方法高4.5倍
66%的SOC每周因跨工具数据整合损失1个工作日
AI处理威胁全生命周期,分析师专注决策验证
人工智能驱动的SOCs:公共部门的新AI网络安全防御
攻击者利用AI在创纪录的时间内发起网络攻击,迫使安全团队将响应时间缩短至秒级,而不是小时或天。检测这些攻击变得越来越困难。由大型语言模型(LLMs)构建的钓鱼活动实现的点击率比传统方法高出4.5倍。1
公共部门组织正处于网络安全的关键转折点。当前在位的安全架构大多没有为这种速度做好准备。安全团队因需求激增、人员短缺和预算限制而捉襟见肘。
唯一能够与AI网络威胁速度相匹敌的方法就是利用AI。
因此,许多公共部门组织正在考虑使用人工智能驱动的SOCs(安全运营中心)。接下来我们将更详细地了解它以及它是如何解决该领域最大安全挑战之一的。
什么是代理型SOC?
代理型SOC改变了安全运营和安全分析师的工作方式。一系列代理型工作流和技能在幕后协助分析师进行自动化操作。
完全自动化的SOCs并不是目标:你不想把人类排除在外,而是要确保他们不会被AI生成的攻击速度所压垮。人类参与仍然至关重要,并且需要透明度。
Elastic为其“人在环中”的安全运营平台设计了代理型安全功能:自主代理从数据摄取到响应处理整个安全威胁生命周期,而分析师则负责判断、验证和审批。每个AI做出的决定都有详细的记录,以便人工审核员确定其准确性。
接下来,我们转向代理型SOC在帮助安全团队解决两个关键痛点中的作用:1)减少碎片化成本;2)缩短响应时间。
痛点 #1:降低碎片化的成本
公共部门运营本质上是分散的。各种系统和操作流程支持特定任务需求、监管要求以及分类级别。许多机构和部门必须在断开连接且空气隔绝的环境中维护高度复杂的操作。历史上,这些孤岛被视为额外的安全层。
然而,在面对快速移动的人工智能驱动威胁时,这种碎片化可能成为障碍。网络安全行业研究显示,66%的SOCs每周因手动聚合断开连接工具的数据而损失整整一天的时间。2
碎片化不仅是一个公共部门SOC的问题;它与整个安全行业相关联。该行业是建立在出售碎片化的基础上的:你购买了碎片化,随之而来的是由此带来的风险:
- 按设备收费迫使做出本不应由预算决定的覆盖决策
- 螺丝钉式的自动化在活跃事件中会失效
- 专有AI隐藏其逻辑
团队在开始对抗实际威胁之前,必须穿越多层障碍。这不仅效率低下,还会带来高昂的成本和风险。与此同时,对手正在利用每一个漏洞。
Elastic 消除了这种碎片化现象。包括 SIEM、XDR 和原生自动化在内的所有保护生态系统所需的技术都在我们的自主 SOC 平台上统一管理。我们消除了“端点税”,因此您可以根据风险而非许可证数量来构建安全策略。我们的开源平台能够与现有生态系统集成,提供跨所有环境的数据可见性,即使是在断开连接的模型中也是如此。
痛点 #2:加快响应时间
安全团队面临着警报疲劳的问题。当前攻击的速度使得优先处理和快速行动变得困难重重。今年年初,从初始妥协到横向移动的时间缩短至 29 分钟,并且响应时间持续减少。3
问题的复杂性在于,在碎片化的环境中对数据进行上下文化所需的努力。缺乏上下文的 AI 威胁检测可能会让团队因误报而不堪重负。噪音在增加,但公共部门的安全团队资源有限,无法应对更多挑战。当安全团队感到沮丧或疲惫时,防御措施会变得薄弱,从而增加了泄露风险的可能性。
Elastic 加快了调查和响应时间。我们的自主 SOC 平台通过数据网格架构,在云、混合云及本地环境(包括完全断开连接的区域)中统一数据,提供实时的整体可见性而无需将数据集中到单一位置。每个安全警报都包含自动化的叙述,关联端点行为与身份变化、网络流量和云日志。通过大规模提供上下文信息,Elastic 使团队能够在不增加资源的情况下以机器速度做出决策。
政府机构正在大规模实施自主 SOC
显然,政府机构无法用旧方式应对新的网络安全威胁。在全球范围内,各国都在加强国家网络安全框架和指令,并大量依赖于基于 AI 的网络安全。
在美国,这种势头仍在加速。2026 年 6 月,白宫发布的行政命令要求加强人工智能创新和安全。政府必须在管理日益强大的 AI 系统带来的新兴风险的同时,现代化技术基础设施。公共部门组织被挑战要负责任地采用 AI 技术,并确保安全、透明度和运营韧性得以保持。
随着机构开始将关键安全决策委托给 AI 代理,透明度和监督成为首要考虑因素。来自美国、英国、加拿大、澳大利亚和新西兰的联合指导强调了操作可见性的需求。人类必须能够理解代理的行为及其原因以及用户意图。4
与此同时,组织迅速意识到 Elastic 的自主 SOC 提供的全面价值,并在地区和项目中大规模实施了 Elastic Security。
Elastic与Google分布式云[(GDC)在离线环境中的集成]((https://www.elastic.co/blog/google-distributed-cloud-air-gapped-environments))是旨在保护高度敏感工作负载的一系列里程碑中的最新成果。通过将Elastic嵌入到GDC的离线环境中,运行完全断开公共互联网连接的工作负载的GDC客户可以从中受益,享受到代理SOC平台提供的安全保障。在美国,Elastic作为联邦民权执行分支机关的AI驱动安全平台,为SIEM即服务(SIEMaaS)提供项最近由美国网络安全和基础设施安全局(CISA)推出的方案。
一种工具填补空白
Elastic是一款旨在保障安全而非增加负担的代理型安全运营平台。它能够缓解您安全团队的时间、预算和注意力压力。考虑一下Elastic对您的网络安全防御策略可能产生的影响:
- 提高可见性同时保持安全性:开放且灵活的架构可以跨任何环境连接信息,让您能够在数据生成源头即时识别关键数据,支持严格的地方隐私法规合规。
- 领先于快速变化的风险:为分析师提供工具,在威胁到达门口之前就将其阻止。网络安全中的AI代理嵌入工作流程中,将检测到威胁后的响应时间压缩至几秒内。团队可以实时获取上下文信息以加速决策。
- 建立对AI的信任:提供透明度,确保分析师了解输入并能够追踪输出逻辑。
- 更有效地分配有限资源:AI驱动的技术减少了安全团队手动关联安全数据和筛选非紧急警报的时间,从而腾出更多时间专注于战略技能的提升以及优化AI行为。
- 实现更好的结果:Elastic Security可以在整个组织的数据生态系统中检测并缓解网络威胁,导致安全事件和事故减少90%。我们以预防为主的方法不仅是一个声明;它已经得到了独立验证。2025年,Elastic是唯一一家在AV-Comparatives真实世界和恶意软件测试中全年保持100%保护率的供应商。
注释:
¹ 微软,“2025数字防御报告”(2025年10月)。
² 微软,“SOC现状:现在统一或以后买单”(2026年2月)。
³ 群晖科技,“2026全球威胁报告”(2026年2月)。
⁴ 政府信息安全,“五眼联盟对自主AI安全风险发出警报”(2026年5月)。
本博客中提及的任何功能或特性的发布和时间安排均由 Elastic 单独决定。未当前可用的功能或特性可能无法按时或根本不提供。
在本文中,我们可能会使用或引用第三方生成式 AI 工具,这些工具由各自的拥有者所有并运营。Elastic 对这些第三方工具没有控制权,并不对它们的内容、操作或使用承担任何责任或义务,也不对您使用此类工具可能导致的任何损失或损害负责。请在使用包含个人、敏感或机密信息的 AI 工具时谨慎行事。您提交的数据可能用于 AI 训练或其他用途。无法保证您提供的信息将得到安全或保密处理。在使用之前,请熟悉任何生成式 AI 工具的隐私政策和使用条款。
Elastic、Elasticsearch 及相关标志是 elastic B.V. 在美国及其他国家的商标、标识或注册商标。其他公司及产品的名称均为各自所有者的商标、标识或注册商标。