摘要
Software Analyst Cyber Research(SACR)发布报告《The AI SOC Market Landscape 2025》,分析了2025年AI在安全运营中心(SOC)中的应用。报告定义了AI安全运营中心核心架构模型,评估了13家供应商,并提供了分析框架、技术基准和分阶段部署策略。2025年AI SOC市场格局报告指出,AI SOC市场快速发展,供应商数量激增,但区分市场宣传与实际能力具有挑战性。报告强调了AI在减轻警报疲劳、自动化调查和提高效率方面的作用,并概述了落地AI SOC产品的步骤。
AI SoC 厂商关键能力矩阵
引言
在 2025 年这个飞速演进的数字时代,安全运营中心 (SOC) 正站在一个历史性的十字路口。在我们合作网络中的首席信息安全官 (CISO) 们看来,这已然成为本年度最重要的战略优先事项之一。去年,我们已就此领域进行了大量研究——**《革新安全运营:通往 AI 增强型 SOC 之路》[1] (2024 年版)**。然而,时移世易,鉴于 2025 年以来的诸多新变化,我们认为有必要撰写一份更全面的报告,以更新我们的研究成果。
其中最显著的变化之一,是该领域内公司的迅速崛起。在过去的 12 到 15 个月里,AI SOC 供应商的生态系统已然成型,众多厂商纷纷调整方向,致力于解决这一难题。我们见证了大量供应商涌入或转型至 AI SOC 赛道,每一家都承诺能缓解告警疲劳、实现自动化调查并增强分析师的工作流程。
如今的安全团队,不仅要应对排山倒海般的告警,还要竭力克服持续的人员短缺问题。企业每天面临数以千计的告警,而及时调查的能力却捉襟见肘。在此背景下,AI已从一个实验性概念,转变为 SOC 内部切实可行的系统。AI SOC 平台现正被用于监控环境、调查告警,并以更少的人工干预来响应威胁。这些工具正在帮助企业缩短检测与响应时间、减轻分析师负担,并提升在日益复杂的环境中的安全覆盖率。
这一转变引出了一个更宏大的问题:这究竟是安全团队获得持久优势的决定性时刻,还是说 AI 不过是 SOC 领域又一个昙花一现的趋势?为了回答这个问题,我们针对这一新兴领域撰写了迄今为止最深入的报告。本报告中提出的见解、分析和框架,旨在为 CISO、安全分析师和组织决策者提供一套工具,帮助他们去伪存真,洞察炒作与实质,从而为其未来的网络安全态势做出明智的战略选择。
为使研究更具实证性,我们与 13 家杰出的 AI SOC 供应商合作,通过严格的基准测试和真实世界评估,审视了他们在自动化、告警分类、调查和响应方面的实现方法。我们向每家供应商发送了一份详细的调查问卷,并请他们演示其平台的工作原理。随后,我们利用他们的回答,通过 SACR 的内部评估框架对各项能力进行了比较和映射。最终,我们以结构化的视图,呈现了这些平台在架构、自动化模型和整体优势方面的差异。
市场上还有许多我们尚未评估的竞争者,我们计划在未来的研究中将其纳入。本版报告未涉及但正积极为 SOC 构建智能体解决方案的供应商包括:Tines、SevenAI、Elastic AI、AIStrike、Bricklayer、Simbain 等。
市场参与者 (概览)
AI-SOC 市场生态
以下 AI SOC 供应商参与了我们的研究,并按字母顺序列出。如需查看完整评分,请访问此在线表格[2]
• Command Zero
• Crogl
• D3 Security
• Dropzone AI
• Exaforce
• Intezer
• Legion
• Mate
• Prophet Security
• Qevlar AI
• Radiant Security
• Sekoia
• Torq
现代 SOC 的架构
随着安全环境日益复杂,现代安全运营中心 (SOC) 已演变为一种分层架构,每一层在管理规模、确保上下文和加速响应方面都扮演着至关重要的角色。
未来SOC架构
数据编织层 (Data Fabric Layer)
在 SOC 团队中,来自不同来源的原始安全数据在发送到 SIEM (或自动化解决方案) 之前,必须经过标准化和处理,才能进行有效分析。这个领域有两种不同类型的供应商:1) 专注于构建和管理工程数据管道的供应商;2) 优先考虑数据过滤和丰富以提高检测质量的供应商。关键任务是将数据格式化为一致的结构以实现无缝集成,并添加上下文信息(如 IP 地理位置或威胁情报源)以提高数据质量。我们将揭示这一层如何与自动化工作日益紧密地结合。
存储与检测层 (Storage and Detection Layer)
公司利用威胁检测规则来定义识别其数据中恶意活动的逻辑。数据处理后,被路由到中央存储库进行存储和分析。这可能涉及提供实时监控和告警的 SIEM (安全信息和事件管理系统),或旨在降低成本的云数据湖。
AI 响应与自动化 (AI Response & Automation)
当检测规则被触发或告警生成时,SOC 分析师会彻查这些告警,评估其严重级别,并实施适当的补救措施。现代 SOC 自动化解决方案正在演变为一种更主动的方法,直接与安全工具集成,而不仅仅依赖于 SIEM 告警。这一进步使得告警丰富和上下文分析能力得以增强,从而实现了更高效的补救流程。分析师现在可以更快地区分真实威胁和误报,并进行彻底的评估和遏制策略。对于事件响应,团队现在可以更有效地管理安全事件,利用在分类阶段发现的指标进行更深入的调查,而传统的 SOAR 解决方案在这一领域被证明特别有效。尽管 AI 技术有望彻底改变这一层的 SOC 运营,但由于 SOC 领导者对 SIEM 相关成本和实施挑战的持续担忧,其采用仍然复杂。
2025 年 SOC 面临的挑战
根据一项针对 300 多位 CISO 的调查显示:
• 告警海啸的规模已难以为继:在受访的 282 个组织中,团队平均每天面临约 960 个安全告警。拥有超过 2 万名员工的企业更是被每日超过 3000 个告警所淹没,这些告警平均由 28 种不同的工具生成。分析师们直言,“数据源太多”和“数据海啸”是困扰 SOC 各个层面的问题。
• 告警疲劳已成为系统性风险:平均而言,所有告警中有 40% 从未被调查。61% 的安全团队承认,他们曾忽略过后来被证明是至关重要的告警,导致客户数据泄露、系统下线或直接的业务损失。更危险的是,平均调查时间 (MTTI) 长达 70 分钟,而基于网络钓鱼的***可在不到 1 小时内成功,这给了对手决定性的先发优势。
• 资源限制迫使团队接受盲区:57% 的组织现在为了控制工作量而抑制检测规则,而首先被禁用的规则恰恰是针对云和身份这两个增长最快的***面。领导者承认这是一种“必要的风险”,这凸显了他们对能够恢复可见性而又不增加人手的自动化的迫切需求。
• 市场情绪已转向AI: “AI 用于安全”已跃升为 CISO 的三大优先事项之一,仅次于数据和云安全。88% 尚未运行 AI 驱动 SOC 的组织计划在未来 12 个月内评估或正积极启动一个。市场正在从“是否”集成 AI 转向“多快”将 AI 集成到日常 SOC 工作流程中。
• 预计 AI 将在三年内承担大部分 SOC 工作:安全领导者预测,到 2028 年,AI 平台将承担约 60% 的 SOC 任务,83% 的人认为 AI 将至少处理一半的运营工作。他们关注的指标——MTTI、MTTR 和 7x24 小时覆盖——与 AI 的优势直接对齐,预示着专为 AI-SOC 解决方案打造的、由投资回报率 (ROI) 驱动的短期购买周期即将来临。
SOC中的AI
去年,我们撰写了关于 AI 在 SOC 中演进的文章。当时,那更像是一份对该领域的探索性报告。近几个月来,通过与全球主要安全领导者的对话,我们验证了这一问题的普遍性。随着 SOC 努力应对日益增长的告警量、不断上升的成本以及缩短检测和响应时间的巨大压力,AI已成为一种必要的增强手段。它并非要取代人类分析师,而是作为帮助他们管理日益增长的运营复杂性的工具。
SOC架构演进
我们报告的第二版将焦点从探讨 AI 在 SOC 运营中的必要性,转向评估哪些支持 AI 的供应商解决方案能够真正提高分析师生产力、改善可见性并缩短响应时间。
认识到业界对 AI 工具的透明度、有效性和适应性持续存在疑虑,本报告将供应商格局划分为四个明确的类别:
• AI 驱动的 XDR 助手
• 自动化的一线告警分析师
• 先进的 AI 驱动威胁狩猎平台
• 以工作流为中心的 AI 自动化工程师
我们采用严格的基准,包括可衡量的平均检测时间 (MTTD) 和平均响应时间 (MTTR) 的降低、误报管理的改进以及运营成本效益,以指导 SOC 领导者选择与其特定环境相符的合作伙伴。本报告还重点关注了智能体 (AI agents) 在安全运营中心的使用。SOC 通常依赖于接收数据输入并根据预定义逻辑生成告警的系统。随着输入数据量的增长,告警疲劳的风险也随之增加。智能体 AI (Agentic AI) 旨在减轻这一负担。通过自主处理大量告警,它帮助分析师专注于那些真正需要他们判断和专业知识的事件。
我们研究了这项技术在两种不同环境中的应用:
1. 企业内部运营的 SOC
2. 由服务提供商管理的外部 SOC
AI SOC 的架构选项
我们回顾了市场上的多种架构剖析,包括由 Andrew Green[3] 撰写的分析。
功能领域 (它自动化了什么?):
自动化/编排 (SOAR+) 与智能体 SOC
这类平台旨在成为安全运营的“中枢神经系统”,协调并自动化跨多种安全工具和数据源的响应。它们超越了简单的剧本,利用智能体 AI 智能地排序操作、丰富告警、触发遏制或修复,并处理案件管理,通常无需人工干预。其最大优势在于能够大规模地编排复杂的跨工具工作流 (SIEM、EDR、云、工单系统等),同时运用规则和动态的智能体逻辑。这为大型复杂环境或 MSSP 带来了响应速度、效率和一致性的显著提升。这些平台可以是用户定义的(由模块化构建块构成),也可以通过预封装的智能体功能得到增强,提供了随着新威胁和工具出现而演进的灵活性。
纯粹的智能体告警分类平台
编排平台专注于端到端工作流,而此类平台则解决一个更具体的问题:减少告警过载的噪音和负担。这些平台快速地对告警进行分类、定级,并只将最相关的威胁上报,充当“第一道 AI 防线”。它们从现有安全系统接收大量告警,并自主过滤掉误报和常规事件。它们的与众不同之处在于强调智能体推理,应用习得的行为、上下文数据,甚至大型语言模型来确定告警的优先级和下一步行动。其价值立竿见影:分析师从“告警疲劳”中解放出来,只有真正需要人类专业知识的案件才会被上报。对于希望在不彻底改变其架构的情况下提高 SOC 生产力的组织而言,这是理想之选。
分析师助手/调查助手 (Analyst Co-Pilot/Investigation)
该领域的平台扮演着人类分析师的“数字队友”角色,为调查和决策提供按需协助。这些工具并非自动化整个工作流,而是专注于实时增强分析师的能力。这可以包括回答问题、生成查询、总结证据或建议下一步行动的自然语言聊天机器人;也可以是更高级的推理引擎,它能整合上下文并引导分析师完成复杂的事件调查。它们的独特之处在于其作为人类专业知识与机器效率之间的桥梁;它们的目的不是取代分析师,而是让他们更快、更准确,且更不容易出错。这些平台对于二/三线分析师以及希望在不丧失人类判断的情况下扩展知识的组织特别有价值。
工作流/知识复制 (Workflow/Knowledge Replication)
这是 SOC 中“组织记忆”的最前沿。工作流/知识复制平台观察、记录并学习顶尖分析师的操作方式,然后将这些行为转化为可扩展、可重复的自动化流程。这些工具通常基于浏览器或使用工作流捕获技术,创建专家流程的“数字孪生”,可以在未来的事件中重放,从而培训新分析师并推动一致性。其独特的差异化优势在于,它们不仅能编码做什么,还能编码如何做和为什么做,保留了否则会因人员流动或规模扩大而流失的隐性知识。对于拥有少数明星分析师的组织,或任何寻求在分布式团队中实施最佳实践的组织来说,这是一个强有力的解决方案。
实施模型 (它如何交付?):
用户定义/可配置 (确定性、智能体构建、低代码)
这些解决方案将权力交到用户手中:它们是工具包或平台,让 SOC 团队能够设计、定制并持续调整驱动其安全运营的自动化、工作流或智能体。用户可以使用可视化界面、脚本或低代码构建器来定义检测规则、编排工作流、构建自定义智能体,并使平台适应独特的组织需求。这种方法最大化了灵活性、适应性和所有权,使其成为拥有成熟团队或复杂多变环境的组织的理想选择。其代价是需要更高水平的专业知识和持续的维护,但回报是一个真正符合业务需求的 SOC。
预封装/黑盒 (无/有限定制、研发驱动的智能体)
相比之下,预封装或“黑盒”解决方案以即用型平台的形式交付,几乎不需要最终用户定制。底层的逻辑、智能体或工作流由供应商设计和维护,通常借鉴了其广泛的研发成果、威胁情报和行业最佳实践。这种模式的核心是快速实现价值:组织可以快速轻松地部署先进的 AI 驱动的 SOC 能力,而无需内部开发。其代价是灵活性降低;用户基本上受限于“开箱即用”的功能和工作流。这些解决方案非常适合希望快速实现现代化、重视易用性或缺乏复杂定制能力和资源的团队。
供应商的部署选项
除了架构和配置,部署模型是另一个关键的差异化维度。AI SOC 平台在部署方式和位置上各不相同,这取决于性能需求、法规要求和云准备情况。本次研究中观察到的最常见的部署模型是软件即服务 (SaaS),即平台由供应商托管,通过互联网访问。一些供应商还提供“自带云” (BYOC)选项,允许客户使用自己的云基础设施来存储数据,并在其上运行 AI SOC 平台。
另一个值得注意的、在 AI SOC 平台中较为独特的部署模型是支持物理隔离的本地环境。对于有严格安全或法规要求的组织来说,这个选项特别有价值,因为它允许他们在与外部网络完全隔离的环境中运行平台。
AI SOC部署选项
尽管所有供应商都在威胁检测和响应方面展示了显著的进步,但实现这些改进的方法却大相径庭。解决方案之间最显著的区别之一在于其底层架构。通过对多个产品的评估,我们确定了三种主要的架构方法,每种方法都有其自身的优势、局限性以及对 AI 在 SOC 中部署方式的影响。
基于现有 SOC (SIEM) 的连接与覆盖模型
该模型指的是作为一层部署在组织现有安全技术栈“之上”的 AI SOC 解决方案。这些平台以云或 SaaS 服务的形式交付,主要通过 API 实现与客户环境的集成。
它们不试图成为中央数据存储库或取代核心的 SIEM/日志记录基础设施。相反,它们从 SIEM、EDR、云和身份源等工具中摄取告警和遥测数据,然后应用自动化的丰富、推理或响应逻辑,再将结果交还给 SOC 团队或案件管理系统。
它们的主要吸引力在于快速实现价值。因为它们不需要大规模的数据迁移、繁重的调优或基础设施建设,通常可以在几天或几周内完成部署。这些平台非常适合希望在不干扰现有安全架构的情况下,提高调查质量、自动化分类或增加一层 AI 决策能力的组织。
其代价是,这些解决方案依赖于其他地方生成的告警和数据的保真度;它们的表现好坏取决于它们所接收到的信号质量。它们也往往具有有限的行为分析或异常检测能力,因为它们很少能访问到完整的原始数据流。
示例:Prophet AI、Intezer、Dropzone AI、Radiant Security
具备日志管理功能的 AI SOC
集成式 AI SOC 平台
这些平台采用更深入的集成方法,直接摄取、存储和分析安全数据。在许多情况下,根据场景的不同,它们可以充当轻量级 SIEM 甚至完整的 SIEM 替代品。与覆盖模型不同,它们可以访问并长期保留原始日志和遥测数据,这使得更高级的行为分析和长期异常检测成为可能。
其关键优势在于更强的可见性和分析能力。通过内部存储数据,这些平台可以建立历史基线、发现细微趋势,并支持仅靠覆盖模型无法实现的回溯性调查。许多平台还提供具有成本效益的日志存储和保留,这有助于降低传统 SIEM 通常带来的高昂成本。
这些平台通常是混合型的。对于拥有昂贵或超载 SIEM 的组织,它们可以充当日志存储分流或丰富层;对于较小的团队,它们也可以作为独立的检测和响应中心。
其代价包括更高的运营复杂性、潜在的供应商锁定风险(因为数据驻留在供应商的环境中),以及额外的安全或合规性考量,特别是对于有严格数据驻留或隐私要求的组织。
示例:Torq、Radiant Security、Sekoia.io、D3 Security
基于人类与浏览器的工作流模拟平台
该模型代表了最以人为本、最具体验性的方法。这些平台并非通过 API 和日志摄取告警,而是捕获、学习并复制真实分析师的调查行为。它们通常使用浏览器扩展或类似技术来观察分析师在其原生界面(如 SIEM 仪表板、案件管理工具)中如何处理事件。
其核心价值在于能够将组织知识和最佳实践转化为可扩展、可重用的自动化流程。随着时间的推移,这些平台可以大规模地“重放”这些专家工作流,像熟练的分析师一样,一步步、一键键地自动处理新事件。
这种方法对于希望保留并放大其顶尖分析师专业知识、快速培训新员工,或在调查流程中保持高度一致性和质量的组织尤其有价值。
然而,也存在一些重要的注意事项:
• 这些平台需要前期的时间和专业知识投入:在实现价值之前,必须记录和验证工作流。
• 与即插即用的覆盖模型相比,它们可能需要更长的时间才能达到完全的运营效果。
• 它们的有效性取决于是否有经验丰富的分析师来“教导”系统。
示例:Mate、Legion Security
记录回放平台
AI SOC 供应商在检测和响应方面提供了显著的改进,但其解决方案在架构设计上差异显著。我们的评估确定了三种主要架构类型,每种都有其独特的优势和局限性。每种架构都反映了增强 SOC 运营的不同方法。一些专注于增强现有设施,而另一些则旨在从头开始重建调查技术栈。正确的选择取决于组织的成熟度、目标、现有工具集,以及他们希望对数据和检测逻辑拥有多大程度的控制权和可见性。
SOC 中使用智能体 AI 的风险与考量
在深入探讨本研究的方法论之前,有必要强调依赖智能体 AI 解决方案用于 SOC 场景所固有的风险。以下考量侧重于业务、运营和合规影响,而非模型性能、集成工作量或功能集等技术限制。
这些是领导者和决策者在推进 SOC 中的智能体 AI 应用之前应仔细审视的领域。
1. 缺乏标准化的基准测试:目前没有广泛接受的基准来评估 SOC 环境中的智能体 AI 解决方案。这使得跨不同供应商评估性能、准确性或投资回报率变得困难。
2. 来自成熟平台的颠覆风险:大型安全供应商可能会将自己的 AI 智能体直接集成到现有工具中,这可能减少对独立智能体 AI 产品的需求。
3. 炒作与实际效果的差距:智能体 AI 是一个热门话题,但并非所有产品都能带来有意义或可衡量的价值。在评估解决方案时,需要采取谨慎、基于证据的方法。
4. 厂商之间的差异化有限:许多供应商宣传的核心能力都相同:分类、响应和可解释性,这使得区分真正的创新和市场营销噪音变得困难。
5. 问责与责任:当 AI 系统做出错误或有害的决策时,组织需要有明确的责任和上报政策。
6. 数据法规的合规性:供应商必须确保数据的存储和处理符合地区法律,包括关于数据驻留和主权的要求(如 GDPR)。
7. 分析师角色的转变:智能体 AI 改变了 SOC 的运营模式。分析师正从直接响应者转变为自动化系统的监督者,这一转变可能需要新的技能、培训和团队结构的调整。
评估方法论
AI SOC 市场排名标准-1
为了评估 AI SOC 供应商的能力,我们基于真实世界的运营需求和专家意见,制定了一套结构化的评估方法论。每家供应商都根据一套全面的标准进行衡量,这些标准反映了 AI 驱动的安全运营中最关键的功能、技术和运营方面。
我们的团队通过供应商访谈、详细的问卷调查和产品文档收集数据。这些信息随后被映射到我们的评估矩阵中。
下面,我们概述了构成我们评估矩阵的关键要素(非全部),并解释了为什么每个因素在评估 AI SOC 平台的有效性和成熟度方面至关重要。这些标准反映了我们认为在现代安全运营中交付真正价值最重要的能力。
AI SOC 市场排名标准-2
1. 可证明的效率提升
虽然指标的改进很重要,但追踪这些改进的方法更为关键。我们优先考虑来自生产环境和案例研究的数字,而不是模糊、宏观的陈述。为了证明平台价值,供应商应提供以下数据点:
SOC 指标的改进: 我们评估了自动化如何减少确认和调查告警的时间。使用平台是否能比人类分析师更快地完成整个调查?快多少?供应商需要用来自生产环境的真实数字和案例研究来支持其声明。
告警升级率: 我们审查了有多少告警被平台完全处理,又有多少仍需要人工升级。这个比率作为自动化成熟度的一个代理指标。
判定准确性: 我们评估了每个平台如何衡量和保持准确性。我们特别关注结构化的质量保证 (QA) 实践,而不仅仅是简单的重新测试或分析师的否决。
对判定准确性的严格质量保证 (QA) 也至关重要。对于依赖 AI 自我检查其输出或由客户分析师确认/否认判定的平台,我们给予较低的权重。拥有人工 QA 团队、检测工程师,以及对 AI SOC 进行评估的红队演练,是在此类别中获得高分的关键因素。
2. 调查速度、可扩展性及负载下的性能
此评估类别尤其适用于大型托管安全服务提供商 (MSSP) 的应用场景,而非内部、优化良好的环境。我们评估了以下方面:
平均调查时间: 我们考虑到调查速度可能受到外部因素的影响,例如提供上下文信息的 API 的响应速度。我们的重点是确定调查的平均运行时间。
可扩展性: 我们试图了解其可扩展性的实现方法。是基于每个许可证固定的预配置计算资源,还是架构本身具有内在的可扩展性?我们要求供应商解释产品在异常高的峰值负载条件下的性能表现。
负载下的性能: 我们询问产品是否经过压力测试,以及是否有详细描述此类测试或大规模部署的案例研究。
我们重视关于产品架构及其如何实现可扩展性的透明解释。我们认识到,虽然平均调查时间是一个考量因素,但确保在资源受限的情况下支持峰值负载和告警调查的排队(而非丢弃)更为重要。
3. 上下文丰富与工件分析
我们评估了平台在收集、关联和分析附加信息(如文件行为、用户活动、威胁情报)以提供更深层次调查上下文方面的表现。
上下文数据源: 我们关注平台是否内置了威胁情报组件,例如能否对照已知的恶意工件数据库(如 VirusTotal、AbuseIPDB、Recorded Future 等)来迭代分析告警实体。
工件分析: 我们评估了对相关工件的分析深度。这包括是否使用内置沙箱、行为基线建立以及类 UEBA (用户和实体行为分析) 技术。
对于那些将常用服务集成作为其授权一部分的供应商,我们给予了更高评价。对我们而言,理解其分析的深度至关重要。我们重视沙箱技术、类似 UEBA 的方法(用于建立正常行为基线),以及比简单地将告警实体与已知恶意工件列表进行比较更深入的分析方法。
4. 新型威胁的检测
我们充分认识到,AI SOC 平台本身并非检测引擎,其重点在于分析已经生成的告警。尽管如此,一些平台具备能够标记新型威胁的功能。
AI 规避:我们审视了平台如何防御针对二进制文件、脚本和日志库的提示词注入及其他形式的 AI 规避技术。
新型威胁的检测:我们评估了平台是否具备任何能力来标记现有工具尚未发现的异常行为或未知模式。
我们高度评价那些在抵御 AI 规避和发现新型威胁方面展现出深思熟虑方法的供应商。
5. 集成的深度与广度
我们评估了每个平台与更广泛的安全技术栈集成的程度,以及其融入分析师工作流程的顺畅度。
可用集成列表:我们审查了是否可以开箱即用地集成主流的安全相关解决方案,以及是否也包含了 SOAR。
无头模式支持:我们评估了平台是否能在不要求分析师登录新控制台的情况下运行,我们称之为“无头模式”。这反映了一个现实需求,因为许多分析师已在多个平台间工作,增加另一个界面会带来摩擦。
与通信应用的集成:我们关注平台是否能够通过 Slack 或 Microsoft Teams 等工具,或通过内置的聊天机器人功能,使用自然语言进行查询。
我们高度重视与主流 SIEM 和案件管理工具的集成。工具疲劳是一个切实的担忧,因此,无需直接在 AI SOC 平台内工作是一个备受欢迎的功能。缺乏与主流安全供应商或 SOAR 工作流的集成被视为一个危险信号。鉴于与现代基于 SaaS 的安全解决方案连接的直接性,我们期望这些集成得到全面实施。与通信应用的集成也是一些供应商开发的一个受欢迎的附加功能,虽非必需,但绝对是一个强大的加分项。
6. 数据与隐私
我们评估了每个平台如何处理数据控制、治理和多租户环境,这些都是 MSSP 和大型企业关心的核心问题。
对多租户部署的支持: 我们评估了平台是否能有效支持多个租户,例如管理不同客户环境的 MSSP 或拥有独立业务单元的大型企业。
对数据的控制: 我们审查了客户对其数据的控制程度,包括保留策略、可导出性、服务终止时的数据删除,以及选择存储位置的能力。我们还评估了供应商对其静态数据存储实践的阐述清晰度。
对安全标准的合规性: 我们核实了平台是否符合 ISO 27001、SOC 2、GDPR 和 NIST 等法规和行业框架。可审计性和文档化也被纳入考量。
我们高度重视数据管理方面的灵活性和透明度。允许将数据存储在客户自己环境中的平台获得了额外加分。
7. 可解释性
我们审视了 AI 系统对其行动的解释清晰度,以及它将分析师反馈融入未来决策的有效性。
可解释性:我们评估了 AI 驱动的调查中的每一步是否都可见且可审计。这包括对幻觉检测的检查和决策路径的清晰度。
人类反馈集成: 我们审查了分析师是否能够修改判定或影响调查逻辑,而不仅仅是最终结果。我们还询问了该反馈回路的实施速度及其对未来调查的影响。
所有供应商都提供了一定程度的步骤透明度。然而,我们优先考虑那些支持精细化分析师输入并能快速融合该反馈的平台。分析师对调查过程能施加的影响越大,得分就越高。
附加功能
此类别评估了超越核心分类和调查改进之外的更广泛的平台差异化。虽然大多数供应商在平均响应时间 (MTTR) 和调查质量上表现出相似的提升,但我们密切关注那些突出的功能和独特的价值主张。
我们评估了超越标准 SOC 工作流的能力,例如对合规工作流的支持、创新的分析师界面或特定领域的应用场景。这些通常揭示了平台服务专业团队或适应未来需求的潜力。
我们还评估了实际的运营因素,如完全部署时间、供应商路线图的可见性和客户支持模型。虽然这些在核心能力评分中的权重不大,但它们在形成本报告结论方面发挥了有意义的作用。
市场综合观察
本次评估的结论并非一个简单的、从优到劣的 AI SOC 平台分级排名。相反,我们采用了一种融合多维视角的细致方法:基于我们评估标准的量化评分、来自供应商访谈的见解、产品演示以及对 AI SOC 领域的广泛研究。
这种多方面的评估方法由两个关键因素驱动:
AI SOC 市场仍处于早期阶段: 我们评估中包含的一些平台已经实现了相对广泛的应用,而另一些仍处于隐身模式。读者在解读我们的发现时应考虑到市场成熟度的这种差异。一些供应商提出了极具创意的概念,但缺乏足够的生产环境部署来通过真实世界的案例研究验证其有效性。
AI SOC 供应商的核心价值主张大体相似: 大多数平台旨在通过自动化告警调查来简化安全运营。本质上,它们承诺减少需要人工干预的告警数量并加速响应时间。诸如平均响应时间 (MTTR)、平均确认时间 (MTTA)、平均检测时间 (MTTD) 或平均调查时间 (MTTI) 等指标被频繁引用为关键绩效指标。最终目标保持一致:更快的调查和更少的人工处理告警。
这两个因素(市场的不成熟和共同的价值主张)使得直接的比较评估变得具有挑战性。然而,我们开发了一个框架,该框架基于供应商的路线图及其将 AI 集成到安全运营中的更宏大愿景,既突出了每个平台当前的能力,也指明了其战略方向。
在最终确定评估时,我们将研究提炼为三个关键因素:
1. Y 轴:产品综合成熟度 (Overall Product Maturity)
定义:衡量平台的运营就绪性、可靠性和可信赖度。基于对安全标准的遵守、支持的可用性和质量、质量保证实践、客户评价、案例研究以及其他运营稳健性指标进行评估。
关键标准:安全认证、客户支持质量、QA 严谨性、稳定性、真实世界部署、客户评价、案例研究、上市时间等。
2. X 轴:功能深度 (Capability Depth)
定义:体现平台功能的范围、丰富度和复杂性。通过平台功能的广度和复杂性、部署灵活性、第三方集成、路线图承诺、对 AI 规避技术的处理、检测广泛威胁的能力等进行评估。
关键标准:应用场景广度(分类、编排、调查等)、定制选项、集成、异常检测、对新型威胁的支持、部署选项等。
3. 量化评分 (Quantitative Scoring):
该评分源自我们在一系列标准(本报告中详细介绍了一部分)上的评分框架,直接影响了每个 AI SOC 平台在下方比较图中的定位。
AI SoC 厂商关键能力矩阵
值得注意的是,我们的量化评分以及对产品成熟度和功能深度的评估,并不一定反映每个平台对您特定应用场景的价值。选择合适的 AI SOC 平台需要将您组织的独特需求与每个供应商的广泛产品和优势相结合。下面,我们重点介绍几个在我们的评估中,特定供应商表现出特别优势的应用场景:
最适用于终端安全的供应商 – Intezer
Intezer 是市场上顶尖的 AI SOC 平台之一,对于高度关注终端安全的环境而言,它是一个异常合适的解决方案。Intezer 最初是作为沙箱解决方案开发的,现已演变为一个全面的 AI SOC 平台,充分利用其在恶意软件分析和数字取证领域的深厚根基。其架构、强大的内置沙箱以及一支恶意软件研究团队,在我们的评估中取得了卓越的成果。该平台基于终端的授权模式以及专家支持的获取渠道,进一步增强了其对寻求高性能、分析师友好型解决方案的 MDR 团队的吸引力。
最独特的应用场景 – Legion Security, Mate Security
Legion Security 和 Mate Security 提供了我们在本次评估中见过的最独特的应用场景之一。其独特性甚至让我们的团队难以将其与其他 AI SOC 平台进行比较。Legion 和 Mate 采取了一种根本不同的方法。通过浏览器扩展,这些平台记录人类分析师的调查工作流,然后将这些精确的步骤自动化。这种方法使组织能够有效地大规模复制其顶尖分析师的专业知识。更重要的是,这些步骤可以回放给新分析师用于培训。据 Legion 团队称,未来的迭代甚至可能允许将外部分析师的专业知识导入平台。由于自动化基于真实的人类行为,它消除了人类分析师验证平台判定准确性的需要。尽管 Legion Security 和 Mate Security 都是相对年轻的公司,但它们的方法解决了我们在更传统的 AI SOC 产品中观察到的许多挑战。这是一个我们将密切关注其演变的创新解决方案。
最独特的价值主张 – Radiant Security
Radiant Security 以其我们所遇到的最引人注目的价值主张之一,在 AI SOC 市场中脱颖而出。虽然所有 AI SOC 平台都旨在提高大规模告警调查的效率,但 Radiant 更进一步,它能分类任何类型的告警,并在日志存储方面提供显著的成本节省——而这正是安全运营的主要成本驱动因素。该平台可以摄取日志并以大约 70% 的效率进行压缩,使组织能够以仅为原始存储空间 30% 的成本保留日志。这些压缩日志可以存储在客户自己的云环境中,而 Radiant 则提供跨这些数据的搜索和调查能力。对一些组织而言,单是存储成本的节省就可能足以证明对该平台的投资是值得的。Radiant 团队明确表示,他们并未将自己定位为日志管理解决方案,并且在我们的评估中,其平台在传统的 AI SOC 基准测试中表现强劲。然而,降低日志存储成本的额外好处,使 Radiant 以当今市场上罕见的方式脱颖而出。
最独特的部署选项 – Crogl, Mate Security and D3 Security
大多数 AI SOC 平台遵循 SaaS 部署模型,要求组织将敏感数据发送到云托管环境。对于一些客户,特别是受监管行业或政府部门的客户,这引发了关于数据主权和控制的重大担忧。Crogl、Mate Security 和 D3 Security 通过提供完全隔离的本地部署选项,直接解决了这一挑战。这使得组织能够在不牺牲 AI 驱动的调查和自动化优势的情况下,完全控制其数据和基础设施。
综合实力强劲者 – Prophet AI, Qevlar AI, Exaforce, Dropzone AI, Command Zero
我们评估的几款 AI 产品在一系列功能上展现了强大而全面的能力。虽然没有一款因高度专业化或小众功能而突出,但它们在检测和响应方面始终表现出稳健的性能。这些平台功能多样且适应性强,适合以最小的摩擦集成到各种组织环境中。我们建议寻求可靠、功能广泛的解决方案的读者考虑这些产品,特别是当他们的优先事项是在多样化的应用场景中实现全面覆盖和可靠性能时。
功能最丰富的平台 – Sekoia, Torq
在我们的研究中,我们观察到几个平台在检测和响应方面取得了显著的改进。然而,有两个平台因其广泛的功能集而脱颖而出,即便是在本就提供广泛强大功能的 AI SOC 市场中也是如此。Sekoia.io 尚未使用 AI 自动分类告警,尽管此功能已在其路线图上。尽管如此,它提供了一个全面的平台,可以有效替代 SIEM,并成为 SOC 检测和响应工作的核心。该平台由精选的威胁情报支持,并提供 AI 驱动的洞察,以提高安全调查的质量和速度。Torq Hyper-SOC 并未定位为 SIEM 替代品,但它提供了一系列广泛的功能,包括云安全态势管理、身份与访问管理、威胁狩猎、事件响应、电子邮件安全等。一些功能甚至超出了传统的 SOC 范围,例如自动化用户的入职和离职,或在发现云资源不合规时触发工作流。我们认为这两个平台的功能都超出了 AI SOC 平台通常带来的预期,对于寻求广泛能力的组织来说,它们可能是可靠的选择。
市场浮现的核心主题
我们对 AI SOC 市场的评估揭示了几个重要的模式,这些模式塑造了我们的最终结论。尽管该领域创新丰富,但许多平台的核心价值主张趋于一致,差异化仅体现在特定的设计理念、功能集或架构选择上。
围绕效率吞吐量的价值主张趋同
该领域几乎所有供应商都专注于提高安全运营的告警解决吞吐量。其核心价值在于简化分类和调查流程、最大限度地减少分析师疲劳并缩短响应时间。因此,仅凭核心宣传来区分供应商常常很困难。大多数平台都承诺更快的调查、更高的告警处理能力和更短的平均响应时间 (MTTR),使得营销信息看起来几乎可以互换。
调查方法的分化
供应商开始出现显著差异的地方在于他们如何处理调查过程本身。我们确定了两种不同的范式:
• 一组平台构建自主调查计划,允许 AI 独立确定调查路径并根据内部逻辑采取行动。
• 另一组则使用结构化护栏,由供应商或分析师定义允许的步骤,AI 在这些参数范围内执行。
这种设计选择反映了在信任、控制和透明度方面更深层次的哲学差异。哪种模式将获得更广泛的市场应用还有待观察,但我们认为这是未来差异化最有意义的领域之一。
超越调查吞吐量的价值
一些平台将其价值主张扩展到纯粹的调查吞吐量之外。例如:
• Radiant Security 通过提供压缩日志存储来引入成本节约,显著降低了保留成本。Exaforce 通过摄取日志数据并免费存储 90 天,为日志管理提供了类似的价值。
• Legion Security 和 Mate 通过记录和回放由人主导的调查来强调信任构建,这也支持了新员工入职和可审计性。
• Sekoia.io 和 Torq 将自己定位为更广泛的安全自动化平台,将多个 SOC 功能整合到单一环境中。
我们鼓励利益相关者在评估平台时全面审视其能力,并探寻其在传统检测和响应工作流之外所交付的价值。
AI SOC 落地实践指南
未来SOC架构以下步骤旨在帮助组织成功地将 AI SOC 产品集成到其现有的安全工作流中。本指南基于我们更广泛的研究,旨在阐明哪些功能集至关重要,识别与特定运营需求相符的供应商,并提供关于市场发展方向的背景信息。某些阶段,特别是定义 AI 策略和选择合适的供应商,需要周密的内部协调,并应以严格的概念验证 (POC) 评估为指导。
AI 的应用并非单一决策,而是一个分阶段的过程,受益于跨职能的输入、明确定义的成功指标和审慎的自动化方法。以下阶段概述了从早期规划到全面部署的实际路径,并突出了在此过程中最重要的运营检查点。
1. 定义 AI 安全策略
我们建议组织首先为 AI 如何增强其安全运营制定清晰的策略。这应包括识别关键痛点,如告警疲劳或响应时间过长。AI 目标必须与总体的业务和安全目标保持一致。组织应预先定义成功指标并获得利益相关者的支持。指导此阶段的关键问题包括:AI 应改进或自动化哪些 SOC 功能?何种自动化水平是合适的?以及将如何衡量成功?
2. 确定 AI 功能集
接下来,组织应定义 AI SOC 解决方案所需的能力。我们建议优先考虑核心功能,如威胁分类和丰富、AI 辅助调查和响应、行为分析和异常检测、威胁情报集成以及自然语言查询。尽早让利益相关者参与进来,以确保与运营需求保持一致,这一点至关重要。这是技术研究和解决方案评估最有价值的阶段。
3. 选择 AI SOC 供应商
在定义需求后,组织应选择一个与其战略目标和期望功能集相符的供应商。应根据准确性、可解释性和集成能力来评估解决方案。其他需要考虑的因素包括供应商支持、法规遵从性和部署的难易程度。在可能的情况下,组织应进行试点项目或概念验证 (POC) 测试,以在真实场景中验证解决方案的有效性。
4. 部署 AI SOC 解决方案
选定供应商后,重点应转移到将 AI 解决方案集成到现有环境中。这包括将其与 SIEM、EDR、SOAR 和遥测数据源等系统连接。配置用户角色、定义运营工作流和设置自动化触发器非常重要。在可用时,应使用历史数据来调整 AI 模型以提高性能。在此阶段,内部团队与供应商支持之间的协作至关重要。
5. 建立信任期 (1-2 个月)
部署后,我们建议设立一个初步的信任建立期,专注于验证 AI 系统的性能。在此期间,安全分析师应密切审查 AI 生成的告警和决策。必须实施反馈循环以持续提高准确性。监控误报并进行配置调整是必不可少的。目标是建立对 AI 能够可靠地支持和增强 SOC 运营的信心。
6. 过渡到完全自动化
随着对系统信任的增长,组织可以逐步扩大自动化水平。这可能包括自动化告警分类和响应低风险事件。随着运营任务越来越多地由 AI 处理,安全分析师可以专注于战略性举措,如威胁狩猎、红队演练以及加强架构和控制。
AI SOC 可以显著增强您的组织检测和响应威胁的能力。然而,成功的应用需要一种深思熟虑的方法,以避免选择错误的解决方案或高估 AI 的能力。我们建议进行仔细的评估过程,尤其是在启用自动化操作之前。我们的研究表明,完全自主的操作是可以实现的,但这需要在您的团队和 AI SOC 供应商之间进行彻底的尽职调查和一段时期的信任建立之后才能实现。
结论
当前SOC已走到了一个关键的十字路口,其驱动力来自于日益增长的告警量、持续的人员短缺以及日益复杂的网络威胁。AI 驱动的解决方案已成为缓解这些运营压力的必需品,它们通过自动化告警分类、提高调查效率,并在不大幅增加人力的情况下实现可扩展性。然而,成功的应用取决于选择与组织需求、成熟度和资源可用性紧密对齐的架构模型——例如覆盖模型 (Overlay)、集成平台 (Integrated Platforms) 或人类工作流模拟 (Human Workflow Emulation)。此外,AI 驱动决策的透明度和可解释性已成为获取信任和确保有效融入现有工作流的关键因素。尽管 AI 在 SOC 运营中的市场正在迅速扩张,但它仍然相对不成熟。因此,组织必须审慎地应用 AI 解决方案,平衡预期收益与潜在风险,包括合规性、数据治理和运营中断。
AI 技术对于现代 SOC 运营日益重要,在自动化、可扩展性和响应速度方面提供了实际的好处。尽管有这些优势,组织仍需仔细评估不同 AI 架构的适用性,要求解决方案提供商保证透明度,并主动管理实施风险。随着 AI SOC 生态系统的持续发展,明智而谨慎的应用将仍然是有效应对当代网络安全挑战的关键。
引用链接
[1] Revolutionizing Security Operations: The Path Toward AI-Augmented SOCs: https://softwareanalyst.substack.com/p/revolutionizing-secuity-operations
[2] Cumulative Scoring: AI-SOC Vendors: https://docs.google.com/spreadsheets/d/1mZLj5WbEcrL6ASX9hLPRdProqie1NMa_/
[3] When a vendor tells you they use AI agents: https://www.linkedin.com/feed/update/urn:li:activity:7354165802243080197/
原文链接
The AI SOC Market Landscape 2025:https://softwareanalyst.io/reports/ai-soc-industry-wide-report-2025/
声明:本文来自玄月调查小组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
