SOC / AI SOC(Security Operations Center,安全运营中心)
[!note] 消歧义 本页 SOC = Security Operations Center(安全运营中心,网络安全领域),不是 芯片领域的 SoC(System on Chip,片上系统)。两者英文缩写相近但完全无关。本页与其 AI 化形态 AI SOC 为同一安全领域的父子概念。
定义
SOC 是企业 7x24 小时安全运营团队 + 平台,负责威胁检测、告警分析、事件响应、威胁狩猎。AI SOC 是 2023 年后兴起的新范式 — 用 LLM + Agent 替代 SOC L1/L2 分析师,大幅提升告警处置效率。
传统 SOC 三层
| 层级 | 职责 | 替代风险 |
|---|---|---|
| L1 分析师 | 告警分诊(Triage) | AI 替代风险 极高 |
| L2 分析师 | 事件调查、根因分析 | AI 替代风险 高 |
| L3 / 威胁猎手 | 主动狩猎、APT 对抗 | AI 辅助 + 人主导 |
AI SOC 的核心变化
- 告警自动分诊 — LLM 阅读告警 + 上下文,给出 True Positive / False Positive 判断
- 自动写剧本 — Natural Language → SOAR Playbook
- 自然语言查询 — 分析师"告诉我昨晚所有可疑登录" → LLM 生成 SPL/KQL
- 报告自动撰写 — 事件报告、合规报告自动生成
AI SOC 关键产品
| 产品 | 厂商 | 特色 |
|---|---|---|
| XSIAM | Palo Alto Networks | 自动化安全运营平台 |
| Charlotte AI | CrowdStrike | Falcon 内置 LLM 助手 |
| Security Copilot | Microsoft | GPT-4 驱动 SOC 助手 |
| 安全 GPT | 深信服 | 中国首个安全大模型 |
| 恒脑 | 安恒信息 | 数据/云安全垂域大模型 |
| 奇安信 实战化 AI | 奇安信 | 安全大模型 |
市场预测
- IDC 预测 2026 年 70% 组织复合 AI 采用 进入安全运营
- AI SOC 取代传统 SOC L1 是网安 AI 化最大确定性场景
关联
↑ up::SIEM SOAR XDR ↓ down::XSIAM 安全 GPT 恒脑 ∈ belongs_to::3-08-AI基础设施安全