Claude Code杀进SOC：这家电商公司把安全运营交给AI了

中小 SOC 团队的困境几乎是行业共识：人少、告警多、重复工作占满精力。

近期日本电商公司 ZOZO 公开了一项实践：基于 Claude Code 构建 SOC Agent，承担 7×24 小时的安全运营工作。

只有3 个人的 SOC

先看 ZOZO 的SOC 团队情况，3 个人。

这也是很多中小团队的共性难题：HC永远追不上告警量的增长。

纯靠人扛，迟早会漏判、疲于应付。

兵藤在文章里承认——按 3 人分担处理，量太大了，负担非常沉重。

但他没去申请外包。

他做了一个决定——让 Claude Code 上岗安全运营。

说实在还挺意外的，毕竟小编对日本 IT 的印象还停留比较传统、刻板的阶段。

不做问答助手，做可执行 SOC Agent

ZOZO 的解法不是“让 Claude 回答安全问题”。

他们做的是一个Agent。

这套 Agent 基于 Claude Code 构建，核心目标是改善 SOC 工作效率。

它的定位非常明确：负责告警分析、优先级评估、响应建议生成，并把结果摘要发回 Slack。

数据来源则通过两个 MCP 打通：

• Splunk MCP：获取安全告警和日志数据

  

• OpenCTI MCP：获取威胁情报

也就是说，Claude Code 不再只是等人复制粘贴日志。

它开始自己调工具、拉上下文、查情报、组合证据。

这也是 Agent 和普通聊天机器人最本质的区别：它不是被动应答，而是主动完成一整套任务。

Claude 为中枢，MCP 打通数据

ZOZO 的整体架构可以拆成 5 层。

第一层是告警来源。

Splunk 负责收集和分析安全日志，生成 Notable 等安全事件。

第二层是情报来源。

OpenCTI 提供威胁情报，包括 IOC、攻击手法、报告和关联对象。

第三层是工具接口。

Splunk 和 OpenCTI 都通过 MCP 暴露给 Claude Code。

第四层是 Agent 编排。

Claude Code 作为 SOC Agent，根据 Skills 调用不同命令，并在需要时派发 SubAgent。

第五层是协作和处置。

Slack 承担告警通知和调查结果回写，SOAR 承担响应动作。

这套架构的关键，不是“Claude 变聪明了”。

而是原本散落在不同系统里的 SOC 工作，被 Agent 串成了一条可执行链路。

锁死只读权限

另外值得注意的是权限设计。

ZOZO 明确提到，SOC Agent 的初动响应可以通过 Read 权限 完结。

也就是说，Agent 负责查、分析、建议。

真正的即时响应，则由 SOAR 实施。

这个边界非常关键。

很多企业一谈 AI Agent，就忍不住追求 「全流程全自动」 的效果

但在安全部门，权限越大，越危险。

改规则、封账号、删除数据、导出日志，这些都不是可以随便交给AI的动作。

ZOZO 的做法恰恰相反：先让 Agent 做高频、重复、可审计的调查工作，把处置仍留给受控流程。

调查归 Agent，处置归SOAR，责任归人。

超越传统 SOAR：补上调查推理的关键一环

传统 SOAR 已经能做很多自动化。

比如某个告警触发后，自动查 IP、自动封禁、自动发通知。

但 SOAR 的强项是规则化流程。更像“如果 A，就执行 B”。

SOC 调查却常常不是这样。

一个告警可能需要结合时间窗口、用户行为、主机日志、威胁情报、历史调查记录和业务上下文。

这中间有大量判断和信息拼接。

Claude Code 的价值就在这里：它不是替代 SOAR，而是补上 SOAR 和人之间那段“调查推理层”。

它可以先看 Notable，再查相关日志，再看 OpenCTI 报告，再判断是否要继续深挖。

如果信息不足，它还能继续调用 SubAgent 补充证据。

⁠/loop 1h：一行命令实现 7×24 小时值守

更炸裂的是周期执行。

ZOZO 原文给出的例子是： /loop 1h /slack-alert-triage 1h

Agent 可以每小时自动跑一次，扫一遍过去 1 小时所有告警。

它不需要倒班。

它不需要五险一金。

它不会请假。

它只是，每小时跑一次，永远跑下去。

从人操作工具，到 Agent 调度系统

过去的 SOC 工作，是人打开工具。

人打开 Slack，看告警。

人打开 Splunk，查日志。

人打开 OpenCTI，对情报。

人再回到 Slack，写摘要。

ZOZO 的方案，把这个顺序倒了过来。

人给出目标，Agent 调工具。

工具仍然是原来的工具，但操作主体变了。

SOC 的下一站：人从执行者，变成管理者

ZOZO 的这次实践，有价值的地方不是 “用了 Claude Code”，而是它给出了一套可落地、风险可控的 SOC Agent 落地方案。

对于只有 3 人的 SOC 团队来说，它没有炒作 “AI 替代人” 的概念，而是切中了安全运营的痛点：海量告警的初筛、标准化调查、证据拼接与优先级判定。

这些工作耗人、枯燥、容易因疲劳漏判，恰恰是 Agent 最能发挥价值的场景。

AI 不会一夜之间重构整个安全行业，但会先重构每个安全团队的工作方式。

参考资料：https://techblog.zozo.com/entry/soc-claude-agent

声明：本文来自玄月调查小组，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。