作者：来自 Elastic Elastic Security Team

网络安全中的自主型 AI 承诺将改变现有工作流程，实现全新的个性化、自动化、高效性和创新水平。

安全团队已经在将其用于自主威胁检测与响应、高级威胁狩猎、自动化事件调查、实时欺诈防护等用例。

那么，自主型 AI 是如何加班帮助安全分析师构建更强韧的安全防御能力的呢？在最新一期的 AI can do what now?! 中，Elastic 的安全解决方案架构师 Anas Khatri 解释了自主型 AI 如何应对技能短缺、缓解告警疲劳管理，并增强现有 AI 安全工具。

SOC 操作中的自主型 AI

SOC 操作中的 AI 代理旨在解决最顽固的网络安全挑战。Khatri 表示：“我们已经尝试解决这些挑战很长时间了，但看起来自主型 AI 能真正推动边界，实现突破。”

与依赖静态操作手册不同，AI 代理可以自主分析威胁、收集上下文信息，并根据发现调整行为。

自主型 AI 安全工具通过结合多个关键组件，根本性地改变了安全运维：

• 大语言模型（LLMs）：提供推理和生成能力。

• 自动化工作流：当 LLM 生成事件响应结果后，安全分析师需要工作流来决定采取哪些行动。像 Elastic 这样的安全平台使用开放的自主型框架构建有目的的自动化工作流。

• APIs：AI 代理需要连接现有安全工具。

• 检索增强生成（RAG）：最重要的环节之一，为每个 AI 回答提供正确上下文，确保其准确性。

AI 代理擅长告警分流、自动用威胁情报丰富数据，并基于观察到的模式持续优化检测规则。它们解读上下文、选择最佳数据源、迭代完善结论，模拟安全分析师的工作。

如何在 SOC 中整合 AI：为自主型 AI 的未来做好准备

Khatri 指出：“安全分析师无需担心自主型 AI 会取代他们。AI 代理只是另一个始终可用的智能分析师。减少或替换人类分析师不是使用该工具的正确方法。”

相反，自主型 AI 是增强 SOC 操作中安全分析师的能力。通过自动化繁琐或耗时的任务，AI 代理让人类分析师可以专注于复杂调查和战略性安全决策。对于管理者来说，更好地利用人力和技术可以提高运营效率。

自主型 AI 不仅增强分析师的工作，它还可以支持每一个现有安全工具，简化工具链和工作流程。虽然目前还无法完全用 AI 代理替代每个工具，但从网络安全角度看，现在开始采用该技术是明智的。

Khatri 说：“如果你不使用，攻击者已经在用自主型 AI 和 LLMs 更快地攻击你。这不是选择，而是必须——将正确的自主型 AI 与现有 SOC 工具结合使用，否则你会被甩在后面。”

最终，网络安全团队应将自主型 AI 视为可以咨询以获取答案和优化建议的智能同事。自主型 AI 工具将支持安全分析师，而非取代他们。通过使用 AI 代理增强工具，你可以强化安全防御，并领先潜在攻击者。

查看 AI Can Do What Now?! - Agentic AI 这一集，了解为什么现在是为安全运维未来做好准备的最佳时机，以及今天应如何使用自主型 AI。

本文中描述的任何功能或特性发布时间与交付时间完全由 Elastic 决定。当前不可用的功能可能无法按时交付或根本无法提供。

本文可能使用或引用第三方生成式 AI 工具，这些工具由其各自所有者拥有和运营。Elastic 对第三方工具不拥有控制权，对其内容、操作或使用不承担任何责任，也不对使用该类工具可能导致的任何损失负责。在使用涉及个人、敏感或机密信息的 AI 工具时，请谨慎。提交的数据可能用于 AI 训练或其他目的，不能保证信息安全或保密。使用前请熟悉生成式 AI 工具的隐私政策和使用条款。

Elastic、Elasticsearch 及相关标识为 Elasticsearch B.V. 在美国及其他国家的商标或注册商标。其他公司及产品名称为其各自所有者的商标或注册商标。

原文：https://www.elastic.co/blog/agentic-ai-security