1. Prophet Security
AI SOC平台公司Prophet Security秉持“增强而非取代”的理念。该公司开发的平台基于所谓的“代理式AI SOC分析师”模型构建。
如果团队存在“AI将取代我”的心态,Prophet Security提供了一个不同的视角:“AI将使你的效率提高10倍,但你仍然在决策循环中。”
优势:
- 专为跨工具集成设计:SIEM、EDR、云和身份识别,有助于避免创建“孤立的黑盒”
- 提供可解释、可审计的操作,让人类分析师能够验证AI行为、提供反馈并学习
- 强调人机协作而非完全自主
局限性:
- 根据团队规模和SOC工作负载,Prophet Security可能不适合所有组织
- 处理警报数量较少的小型企业可能无法获得与企业同等的价值
- AI领域快速发展,建议进行价值验证以确保其在特定环境中按承诺运行
2. Crogl
这家初创公司将AI视为分析师的“钢铁侠战衣”。Crogl定位为让安全团队能够大规模分类、调查和理解警报,而不是简单地将所有决策交给机器。
优势:
- 强调完全记录、可审计的调查,保持分析师对系统行为的可见性
- 支持气隙隔离或本地环境部署,考虑企业约束条件
- 尽管自动化程度高,但旨在赋能分析师而非使其冗余
局限性:
- 作为相对较新的供应商,可能缺乏大型厂商的生态系统集成和成熟度
3. Mate Security
另一新进入者是Mate Security,其目标是通过AI处理噪音来减少警报疲劳,让分析师专注于信号。
优势:
- 将人机合作定位为AI处理重复任务,人员处理判断、细微差别和上下文
- 强调透明度和清晰度,帮助分析师信任而非盲目遵循AI建议
- 适合仍有强大分析师覆盖但希望减轻认知负荷的团队
局限性:
- 功能深度较成熟平台更窄,复杂调查时能力可能有限
4. Microsoft Security Copilot
微软Security Copilot位于更广泛的微软生态系统中,可直接集成许多SOC已在使用的工具。它在工作流中添加生成式AI,但坚持其名称含义:是副驾驶,而非自主分析师。
优势:
- 对已投资微软技术栈的团队无缝适配,几乎无集成痛苦
- 范围刻意保持辅助性,让分析师处于流程中心而非边缘
- 强化重要事实:即使最大厂商的最强自动化仍依赖人类做最终决定
局限性:
- 主要价值体现在微软重度环境中;多供应商SOC获益有限
5. Fortinet SOC平台
Fortinet的SOC平台坚定位于“企业级”类别,采用统一、AI驱动的方法进行检测和响应,为需要规模但无需增加工具或技能的团队构建。
优势:
- 紧密连接的安全架构,将遥测、工作流和响应集中而非分散在点工具中
- 实际有效的自动化:减少需追查的警报,加速检测和响应
- 广泛覆盖端点、网络、云和身份,提供更清晰的风险视图
局限性:
- 若无适当防护措施,自动化可能缺乏透明度,分析师可能失去决策可见性
6. IBM自主威胁运营机器(ATOM)
IBM的自主威胁运营机器是供应商向代理式SOC自动化的重要推进,涵盖由生成式AI驱动的威胁狩猎、调查计划和修复。
关键考虑:
- 强大品牌和基础设施,但“自主”标签意味着较少人工监督和更多机器决策
- 适合高自动化并愿意建立治理框架的企业
- 希望保持分析师更严格控制的企业需要强透明度和AI推理验证
局限性:
- 自主态势可能压垮无时间或专业知识大规模验证自动操作的团队
7. SOC Prime
SOC Prime是另一个专注于分析师工作流的供应商,平台强调检测情报、威胁狩猎和为分析师配备先进工具,而非简单替换。
优势:
- 供应商无关的检测规则和威胁狩猎平台,支持人工主导的调查
- 强调“让分析师生活更轻松”而非“替换分析师”
- 适合需要更智能工具而非更少分析师的强大分析师团队SOC
局限性:
- 非端到端SOC平台,严重依赖客户现有工具和流水线
8. Seceon aiXDR
Seceon aiXDR高度专注于自动化警报分类、事件响应和工作流编排。
优势:
- 高自动化方法,摄取遥测、限制警报迷雾并编排响应
- 适合精干团队和高量环境,但自动化越多越需关注人工判断组件
局限性:
- 以自动化为中心的设计如无明确人工审批检查点可能导致过度依赖机器推理
对比表格
| 平台 | 优势 | 人机平衡 | 局限性 |
|---|---|---|---|
| Prophet Security | 代理式AI模型,跨工具集成,可解释性 | 设计上人机协同 | 需要调优和运营成熟度 |
| Crogl | 可审计调查,本地友好,以分析师为中心 | 强人工控制与透明自动化 | 早期阶段生态系统成熟度有限 |
| Mate Security | 减少认知负荷,透明推荐 | 人工主导,AI辅助工作流 | 复杂SOC可能感觉功能集较轻 |
| Microsoft Security Copilot | 深度微软集成,广泛辅助功能 | 仅辅助性;分析师仍是主要决策者 | 微软中心外SOC价值有限 |
| Fortinet SOC平台 | 成熟平台,广泛自动化 | 需要人工监督以对抗自动化主导 | 无治理纪律可能感觉不透明 |
| IBM ATOM | 强大基础设施,自主编排 | 倾向于机器驱动决策 | 高自主性需要强验证流程 |
| SOC Prime | 检测情报,威胁狩猎工具 | 分析师驱动的洞察 | 非完整SOC平台;依赖外部技术栈 |
| Seceon aiXDR | 高自动化,适合精干团队 | 需要人工验证以保持信任 | 治理薄弱时存在过度自动化风险 |
常见问题
问:为什么SOC运营中仍需人工参与? AI擅长规模和速度,但分析师带来上下文、细微差别和风险判断。机器能检测异常,但人类理解活动是否对业务正常、关联敏感资产或属于更广泛战略风险。
问:完全自主的SOC今天现实吗? 正在出现但尚不完全可信,特别是高风险环境。大多数实体仍需分析师处理验证、升级和道德决策。研究支持这一点:最近关于SOC中人机协作的论文发现合作提高敏捷性并减少认知超载。
问:哪些平台最适合分析师密集的SOC? Prophet Security、Crogl、Mate Security和SOC Prime是良好选择,人类洞察保持中心地位,AI作为加速器而非替代品。
问:哪些平台适合精干团队但高警报量? Seceon aiXDR、Fortinet SOC平台和IBM ATOM倾向自动化,可支持较小团队,但仍需强人工监督。
问:如何评估平台是否“过度自动化”? 寻找透明度差距:AI决策是否可解释?分析师能否覆盖操作?是否有清晰审计追踪?如答案为“否”,则进入黑盒领域。
问:今天最安全的AI运营模式是什么? 增强型SOC模式:AI处理分类和丰富;人员负责判断和高风险决策;系统随时间从分析师反馈中学习。