2025年,AI-SOC从概念验证走向规模化生产。Google Cloud年初提出"智能体安全运营中心(Agentic SOC)"概念后,Stellar Cyber、COGNNA、Torq等厂商快速跟进,推出基于Agentic AI框架的自主威胁检测与响应平台。

技术层面呈现三大演进趋势:从单点AI功能向智能体集群发展,CrowdStrike的Charlotte AI AgentWorks实现无代码平台编排;从辅助工具转向自主决策,DXC与7AI合作的Agentic SOC已为客户节省超22.4万分析师工时;从封闭系统走向开放生态,微软Sentinel、Sumo Logic等平台通过MCP(模型上下文协议)支持第三方集成。

核心价值在于效率革命:警报处理自动化率突破90%,调查时间从数小时缩短至30分钟内,运营成本降低40%-80%。思科开源Foundation-sec-8B安全大模型、Meta推出LlamaFirewall框架,进一步推动生态繁荣。未来方向指向智能体自主性增强、跨域整合深化及边缘智能发展,最终目标是构建以机器速度应对威胁的自主安全运营中心。

一、时间轴与产品特点

2025年1月-3月(早期探索期)

Google Cloud - Agentic SOC概念提出

  • 特点:推出警报调查代理、恶意软件分析代理等AI功能

  • 标志意义:提出"智能体安全运营中心(agentic SOC)"概念

2025年4月(快速发展期)

1.Stellar Cyber - 人类增强型自主SOC

是一种把 AI 自动化能力 与 人类分析师决策 深度结合的新一代安全运营中心理念与平台。

  • 特点:基于Agentic AI框架,实现检测、分类、响应自动化

  • 核心技术:Open XDR平台 + 协作式智能体系统

2.COGNNA - COGNNA Nexus

是一个基于代理型 AI 的智能安全运营平台,旨在通过自动化、预测性分析和统一安全视图,帮助组织更快、更准确、更主动地管理网络威胁。

  • 特点:利用智能体AI实现自主威胁检测、分析与响应

  • 优势:减少警报疲劳,加速事件响应

3.Torq - HyperSOC-2o

是一个由多代理 AI 协同运作、能够自主完成绝大多数安全运营工作的高度自治型 SOC 平台。

  • 特点:收购Revrod,融入多智能体RAG技术

  • 能力:以机器速度自动化、管理和监控关键SOC响应

2025年5月(技术深化期)

1.Conifers.ai - CognitiveSOC™平台

是一款利用智能 AI 代理持续学习组织环境及安全知识、在现有 SecOps 流程中实现深度、上下文化调查与响应的 AI SOC 平台,旨在显著提升 SOC 效率与准确性,同时减少噪音与调查时间。

  • 特点:智能AI技术无缝集成现有工具,持续学习适应

  • 目标:助力MSSP提升SOC运营效率

2.MixMode - AI在网络安全中的现状报告

是一家利用自主学习、第三波 AI 技术提供实时、无规则、无训练数据的网络安全威胁检测与响应平台,用以帮助组织快速发现和应对已知及未知攻击。

  • 数据:53%组织达到全面或成熟AI应用阶段

  • 发现:58%在SOC使用AI,能加快警报解决速度

2025年6月-7月(行业整合期)

1.思科 - Foundation-sec-8B

一款专为网络安全场景设计的、基于 Llama 3.1 架构的开源 80 亿参数大型语言模型,用于支持安全团队构建 AI 驱动的威胁检测、自动化 SOC 工作流和安全分析工具。

  • 特点:首个开源安全大模型,80亿参数

  • 应用:SOC加速、主动威胁防御、漏洞分析

2.Meta – LlamaFirewall

是 Meta 推出的开源 AI 安全防护框架,用于在大语言模型运行过程中检测、拦截和缓解有害、违规或恶意的输入与输出风险。

  • 特点:开源AI安全框架

  • 定位:保护AI系统免受安全威胁

3.Arctic Wolf – Cipher

是 Arctic Wolf 推出的 AI 驱动安全助手,集成在其 Aurora 平台中,通过大规模安全数据与生成式 AI 实时提供深入威胁洞察、警报解析与可操作总结,帮助安全团队更快调查与响应威胁。

  • 特点:AI安全助手,整合全球SOC的AI经验

  • 能力:提供即时答案、情境丰富信息

2025年8月(平台化阶段)

1.DXC与7AI - DXC Agentic SOC

是一种将 7AI 的自主 AI 智能体全面集成到 DXC 托管安全运营服务中的 AI 驱动安全运营中心,通过自动化警报分类、威胁调查与响应提升安全响应速度、准确性和规模化覆盖,重塑传统 SOC 功能。

  • 特点:完全自主AI智能体,端到端安全运营管理

  • 成效:已为客户节省超22.4万分析师工时

2.AirMDR - AI SOC平台

  • 特点:自动化一级警报分类,降低成本

  • 创新:推出"永久免费"计划

3.Google Cloud - 智能安全运营中心

是一款云原生、AI 与威胁情报驱动的安全运营平台,统一 SIEM、SOAR 与威胁情报功能,帮助安全团队以 Google 的规模和智能快速检测、调查与响应网络威胁。

  • 特点:警报调查代理工具,AI辅助威胁检测

  • 愿景:创建"智能安全运营中心(SOC)"

2025年9月(成熟应用期)

1.CrowdStrike - Falcon代理安全平台

是CrowdStrike 的云原生端点与整体安全防护解决方案,通过一个轻量级代理结合 AI 驱动分析,在统一平台上实时检测、阻止和响应恶意软件、攻击与威胁,简化管理并提升安全运营效率。

四大创新:

  • Enterprise Graph(最丰富实时数据层)

  • Charlotte AI AgentWorks(无代码平台)

  • 基于MCP的代理协作

  • AI驱动的控制台

2.Sumo Logic - Dojo AI

是 Sumo Logic 推出的代理式 AI 驱动安全运营平台,通过智能代理协助分析师自动检测、调查和响应威胁、简化常规安全任务,从而提升现代 SOC 的效率与主动防御能力。

  • 特点:由AWS支持,专门智能代理实现任务自动化

  • 组件:Mobot、查询代理、摘要代理

3.Splunk - Enterprise Security 8.2

是Splunk 的 AI-增强版 SIEM/SecOps 平台,通过统一威胁检测、调查与响应(TDIR)功能以及嵌入式 AI 辅助和自动化工作流,加速 SOC 分析、减少噪声并提升整体安全运营效率。

  • 特点:智能代理AI置于SOC核心

  • 功能:Triage Agent、Malware Reversal Agent

2025年10月-11月(生态拓展期)

1.微软 - Sentinel安全图和MCP服务器

是构建在 Microsoft Sentinel 平台之上的 AI 驱动安全分析与操作基石:安全图以图谱方式连接安全信号与实体关系,提供深度威胁洞察,而 MCP(模型上下文协议)服务器通过标准化接口让 AI 代理安全地访问、查询和推理这些安全数据,从而实现自然语言查询、自动化调查与智能响应。

  • 特点:智能代理AI功能,加速威胁检测与修复

  • 集成:支持第三方和内部开发代理

2.Palo Alto Networks - Cortex AgentiX

是一个把安全数据、自动化流程与生成式 AI 智能体结合起来的 AI 驱动安全运营平台,用于更快发现、分析并自动处置威胁。

  • 定位:下一代SOAR产品

  • 能力:构建和管理AI代理,自动化威胁调查与修复

3.Blumira - SOC Auto-Focus

是一项以自动化与智能优先级为核心的 SOC 能力,帮助安全团队快速聚焦最关键威胁、减少告警噪音并加速事件响应。

  • 特点:AI驱动调查工具,增强调查情境

  • 理念:AI辅助而非替代分析师

2025年12月(国际化与深度整合期)

1.Simbian - AI SOC Agent(日本市场)

是一款面向日本企业本地化交付的“自律型 AI SOC”,可对来自 SIEM/XDR 等系统的告警进行 7×24 自动调查、分流与响应,帮助缓解人力短缺并加速事件处置。

  • 特点:自治多智能体套件,支持本地化部署

  • 优势:决策透明化、多租户支持

2.Sumo Logic - Dojo AI升级

在其 Dojo AI 安全运营平台中引入/扩展“代理式(agentic)AI”能力(如 SOC Analyst Agent、Knowledge Agent 及 MCP 连接生态),以减少告警噪音并加速安全调查与响应。

  • 新增:SOC Analyst Agent、Knowledge Agent、MCP服务器

  • 目标:缓解警报疲劳与复杂性

3.Zentara - AI驱动网络防御生态系统

是一套以 AI 为核心的安全解决方案组合,通过更智能的威胁检测与自动化响应来提升企业与政府机构的整体网络韧性。

  • 特点:SOC as a Service + 零信任架构

  • 定位:支持数字主权建设

二、产品发展趋势总结

1.技术演进趋势

从单点AI到智能体集群

  • 早期:单一AI功能(如警报分类)

  • 中期:多个AI代理协同工作

  • 成熟期:智能体编排平台(AgentiX、Charlotte AI)

从辅助到自主

  • 人工主导→AI辅助→AI自主+人类监督

2.架构趋势

统一平台化

  • 从碎片化工具向统一平台演进

  • 核心特征:Open XDR、Enterprise Graph、数据层统一

开放生态

  • MCP(Model Context Protocol)成为标准

  • 支持第三方集成(超1000个工具)

  • 开源模型(Foundation-sec、LlamaFirewall)

3.功能趋势

自动化程度提升

  • 警报处理自动化率:>90%

  • 调查时间缩短:30分钟−2.5小时/次

  • 分析师工时节省:>22.4万小时/年

智能化深度增强

  • 从规则驱动到智能推理

  • 支持自然语言交互

  • 预测性威胁建模

4.商业模式趋势

服务化与订阅制

  • SOC 作为一种服务普及

  • 灵活定价模型

  • "永久免费"计划出现

生态合作深化

  • 大厂联盟(AWS、Google Cloud、Microsoft)

  • MSSP赋能成为重点

  • 跨国本地化部署

5.核心价值主张

效率革命

  • 解决人才短缺问题

  • 降低运营成本40%−80%

  • 提升响应速度10倍以上

智能协作

  • 人机协同成为主流

  • "增强"而非"替代"人类专家

  • 透明化与可控性并重

6.未来方向

  • 智能体自主性增强:从半自动到全自动化决策

  • 跨域整合深化:OT/XIoT、云原生全覆盖

  • 合规与治理强化:AI安全护栏、审计能力

  • 边缘智能发展:本地部署、主权云支持

  • 开源生态繁荣:更多基础模型与工具开源

总体趋势:AI SOC正从"概念验证"走向"规模化生产",核心是通过智能体技术实现安全运营的自主化、平台化、生态化,最终目标是构建能够以机器速度应对威胁的"自主安全运营中心"。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。