在當今網絡安全威脅日益嚴峻的形勢下，安全運營中心(SOC)肩負著重大責任。然而，SOC分析師往往人手不足，工作繁重。生成式人工智能(GenAI)的出現為緩解這一困境帶來了希望，使初級安全分析師能夠擺脫繁瑣的分類和文檔工作，將更多精力投入調查、響應和核心技能培養。

以下是已經在全球SOC嶄露頭角的六大生成式人工智能應用：

1.培訓新員工

卡內基梅隆大學教授Ben Moseley指出，培訓新員工通常會占用資深分析師寶貴的時間。生成式人工智能助理可以快速回答新員工的提問，幫助他們更快上手。

2.信息收集

Forescout Technologies是一家為企業客戶提供SOC服務的公司，同時也運營著自己的SOC。該公司允許生成式人工智能訪問客戶數據，但僅限于Forescout構建和控制的受限預覽。分析師還可以使用公共版本ChatGPT來處理不涉及客戶數據或公司機密信息的常規工作。Forescout首席技術官JustinFoster表示，生成式人工智能的效率和便利性遠超傳統搜索引擎，并且能夠理解上下文，方便后續對話。初級分析師可以直接查看潛在事件描述和行動建議，從而快速提升工作效率。

Foster強調，生成式人工智能可以幫助自動化初級分析師的任務，讓他們騰出更多精力用于更高級別的威脅響應活動。

3.定制化模型與安全控制

Forescout在私有實例中運行定制模型，以提高安全性并加強控制。他們還通過API而不是讓分析師直接與模型對話的方式來設置防護措施。Foster表示，他們選擇控制提問內容并向用戶提供答案，以此確保安全使用。這種方式更加便捷，系統可以提前準備好答案，避免分析師需要自行剪切粘貼所需信息并編寫提示。

4.編寫腳本和摘要

Netskope是一家擁有全球SOC的公司，可以24/7全天候監控其內部資產并響應安全警報。Netskope最初嘗試使用ChatGPT查找新威脅信息，但很快發現其信息存在時效滯后的問題。隨后，他們將目光投向了生成式人工智能的其他功能，例如根據防火墻規則編寫訪問控制條目等。

Netskope副首席信息安全官James Robinson表示，他們會為分析師制定使用指南，例如避免將敏感信息輸入ChatGPT。隨著技術的發展，更安全的選擇陸續出現，例如私有實例和API訪問。Robinson指出，他們更信賴API提供的安全性保障。

5.幫助分析師快速了解威脅情報的最新動態

例如使用Copilot來更新威脅行為體相關的信息。Robinson認為，生成式人工智能可以幫助新入職分析師更快地創建威脅摘要，從而騰出更多時間進行深入理解。對于資深分析師而言，生成式人工智能可以起到倍增器作用，幫助他們更高效地完成工作。未來，生成式人工智能甚至可以協助構建自定義規則、開展工程檢測并與其他系統集成。

6.審查合規政策

Insight是一家位于亞利桑那州的解決方案集成商，在自身SOC中使用生成式人工智能，也為企業提供相關咨詢服務。他們的一項早期應用案例是利用生成式人工智能審查合規政策并提出建議。

例如，用戶可以詢問：“閱讀我所有的政策，并告訴我根據現行監管框架我應該采取哪些措施，以及我的政策與這些建議的差距有多大?”

Insight使用運行在微軟Azure私有實例中的OpenAI，結合可檢索增強型生成(RAG)技術訪問其數據存儲。Taglienti強調，提供正確的上下文并提出恰當的問題，將有助于生成式人工智能發揮最大效用。

生成式人工智能在SOC中的進階應用

生成式人工智能在SOC中的應用前景非常廣闊，例如Secureworks多年來一直在使用各種形式的人工智能，包括異常檢測、其他機器學習模型，甚至神經網絡。這些系統幫助Secureworks收集和優先排序警報，使分析師能夠優先處理最重要的警報。在過去的18個月中，該公司將警報數量減少了80%，分析師的工作量減少了50%，使分析師能夠將更多時間花在更困難的案件和服務新客戶上。

公司首席產品官凱爾·法爾肯哈根(Kyle Falkenhagen)表示：“我們的下一個關注領域是如何從分類、調查和響應的角度改善分析師體驗。”生成式人工智能恰逢其時地登場。

以下是生成式人工智能在SOC中的三大進階應用：

自動化操作：安全專家們預測，生成式人工智能未來將能夠執行操作，例如根據特定策略和漏洞數據庫(@MITRE等)創建標準操作流程。

更高效的威脅響應：Secureworks公司已經開發了插件，可以讓有用的數據輸入到人工智能系統中。他們還在最近的一次黑客馬拉松活動中測試了將生成式人工智能融入其編排引擎。該公司首席產品官KyleFalkenhagen表示，生成式人工智能可以推理并采取必要步驟，例如阻止用戶登錄、選擇合適的處置方案并調用API執行操作，而無需人工干預。

人才短缺與技能培養：Falkenhagen認為，生成式人工智能的出現不會導致安全分析師崗位的消失，反而會讓他們將精力轉移到更高價值的活動上，例如調查、根因分析和威脅狩獵等。他表示，生成式人工智能可以幫助緩解當前網絡安全人才短缺的困境，不但可以提高一線分析師的水平(接近二線)，而且能夠成為分析師的顧問和技能培訓師。