Agentic SOC是云原生的安全信息和事件管理(SIEM+SOAR)平台。Agentic SOC集中采集并分析多云环境、多账户下的安全日志与告警,利用内置的检测规则与AI模型自动发现威胁,并通过自动化的响应编排剧本实现快速处置,以应对传统安全运营中数据孤岛、威胁发现慢、响应处置效率低的问题。
常见应用场景
多云日志统一管理
挑战: 在多云及混合云环境下,安全日志分散在不同平台,格式不一,形成数据孤岛。安全团队缺乏统一的全局视角,难以进行跨云攻击溯源和统一审计,运营复杂度高。
解决方案:
统一日志汇聚:支持通过S3、Kafka等多种方式,高效汇聚跨云、跨厂商及本地IDC的异构日志至统一数据池。
智能解析与标准化:通过解析引擎实现灵活的字段映射,将海量、非结构化的原始日志实时转化为统一、标准的数据模型。
全局分析与溯源:基于标准化数据,实现全局统一的威胁检测、跨云攻击溯源与合规审计。
Web入侵溯源
业务挑战: Web应用遭受入侵后,攻击者通常会利用多个漏洞、通过多次尝试来横向移动和提升权限。传统方式下,安全人员需要手动关联WAF、主机安全、网络流量等多种日志,过程耗时且容易遗漏关键线索。
解决方案:
自动检测与关联:Agentic SOC自动采集并分析 Web 应用防火墙 (WAF) 日志和主机安全日志。当发现WebShell上传行为和异常进程启动命令时,Agentic SOC能自动将这些独立的告警关联为一次完整的“Web入侵”事件。
攻击路径还原:事件详情页以攻击时间线的形式,展示从Web访问、漏洞利用、WebShell写入到反弹Shell、执行恶意命令的完整攻击路径,帮助安全人员掌握攻击全貌。
自动化响应:可使用内置阿里云防火墙批量封禁入方向IP等剧本,联动云防火墙在互联网边界封禁攻击源IP。
挖矿病毒处置
业务挑战:挖矿病毒通过消耗大量计算资源牟利,导致企业云资源成本增加、正常业务性能下降。手动处置流程繁琐,包括定位进程、查杀文件、封禁矿池连接、修复入侵入口等,难以做到快速响应。
解决方案:
精准检测:Agentic SOC结合主机安全日志、VPC流日志和内置的威胁情报,识别挖矿进程(如
xmrig)和与矿池的异常网络连接,并生成“挖矿活动”事件。智能分析:AI智能助手对事件进行分析总结,并基于历史案例和最佳实践,推荐处置策略,例如“结束恶意进程、封禁矿池IP”。
自动化响应:使用推荐处置策略,运行剧本结束恶意进程、隔离挖矿文件。
工作原理及流程
Agentic SOC通过标准化的流程集成多云、多账号、多产品和不同安全厂商的日志,利用威胁检测规则分析日志形成安全事件。并利用自动化响应编排能力,联动相关云产品对恶意实体执行封禁、隔离等安全措施,实现快速且有效的安全事件处置。核心环节如下:
日志采集与解析:从云产品、第三方设备、业务应用等不同数据源采集原始日志。
告警生成:通过内置检测规则或直接接入第三方产品的原生告警,从海量日志中识别出潜在的威胁。
事件聚合处置:通过可配置的关联规则与图计算模型,将描述同一攻击行为的多个告警聚合成一个事件。
响应编排:事件根据预设条件自动或手动触发剧本,调用不同组件的动作,生成处置策略并下发处置任务,以实现自动化响应。
核心概念
实体:告警或事件中涉及的核心对象。实体是关联不同告警、还原攻击路径的基础。例如:IP地址、域名、文件哈希、进程、主机、容器、云资源ID(如ECS实例ID)、用户账号等。
事件:Agentic SOC通过内置的规则和图计算模型,将来自不同数据源、描述同一攻击行为的多个告警聚合关联成一个安全事件,并自动还原攻击时间线。
处置策略:以处置场景为最小单位的告警处置详情。每个处置实体在每个处置场景的处置结果均会生成一条处置策略。
处置任务:以作用域为最小单元的告警处置详情。在事件处置过程中,每个处置实体的每个处置场景会根据作用域拆分成多个处置任务。
响应编排(:通过自动化的工作流(即剧本)组织和管理安全响应动作。响应编排能够根据预设逻辑,自动执行一系列操作,实现安全事件的自动化处置。
剧本:预设的自动化安全工作流程,由流程起点、条件判断、执行动作和流程终点组成。支持通过图形化界面拖拽编排,自定义针对特定安全事件(如挖矿、勒索软件)的响应逻辑。
组件:用于连接和操作外部系统或服务的接口,是剧本中执行具体动作的载体。
资源实例:操作的具体服务实例,如云防火墙实例。
动作:组件的具体执行能力,一个组件可能包含多种动作。以终端管理软件为例,可能包括如禁用账户、隔离网络、发送通知等动作。
产品优势
Agentic SOC是一款深度集成AI Agent核心引擎的安全运营平台型解决方案,借助Agentic SOC安全运营工作可开启“智能自动驾驶”模式,从人机协防到全自动处置,随需而变。
高效洞察与聚合,告警收敛率达99.94%
结合全球威胁情报、图计算及云原生日志分析能力,能从海量告警中精准识别新型、未知及隐匿性高的威胁。安全事件平均检测时间缩短至分钟级。
秒级自动化响应,处置策略覆盖率达95%
基于AI Agent核心引擎,提供一键式处置策略与开箱即用的自动化剧本(支持自定义),无需手动配置。可协同各类安全产品及基础设施,对事件、告警进行全自动分析与响应。
自动还原攻击全貌
运用图计算和安全大模型,自动溯源并还原完整攻击路径与时间线。
全局统一视野,跨资产事件发现率达90%
统一归集与处理跨云、跨账号、跨产品的日志数据,大幅降低混合云安全运营复杂度。通过集中化的管理与审计,提供全局安全洞察,有效简化数据分析与合规工作。
Agentic SOC安全运营效能
平均检测时间(MTTD)、平均确认时间(MTTA)与平均响应时间(MTTR)是衡量安全运营效率的核心指标。以下数据基于真实用户统计,展示 Agentic SOC 在事件处理方面,整体安全运营效能。
效能总览
指标 | 传统方式 | Agentic SOC 效能 | 效率提升 |
MTTD(检测) | 小时级 | 5分钟 | 从小时级到分钟级 |
MTTA (确认) | 天级 | 35分钟 | 从天级到分钟级 |
MTTR (响应) | 天级 / 周级 | 90分钟 | 从周/天级到小时内 |
指标详解
MTTD(Mean Time To Detect)-平均检测时间
定义:从攻击发生到首次被系统检测到的平均耗时。
Agentic SOC 效能:5分钟
传统方式:小时级
核心优势:Agentic SOC 将攻击的发现时间从小时级压缩至分钟级,极大减少了威胁在系统内的潜伏时间,为快速响应赢得先机。
MTTA (Mean Time To Acknowledge) - 平均确认时间
定义:从事件被检测到安全团队确认为真实威胁的平均耗时。
Agentic SOC 效能:35分钟
传统方式:天级
核心优势:事件发生后,Agentic SOC 自动执行调查与威胁溯源,将传统需要数天的人工研判工作缩短至35分钟内,实现对真实威胁的快速甄别。
MTTR (Mean Time To Respond) - 平均响应时间
定义:从威胁被确认到完成处置并恢复系统的平均耗时。
Agentic SOC 效能:90分钟。
传统方式:天级或周级。
核心优势:通过自动化预设剧本,Agentic SOC 可在秒级内完成从确认到处置的关键动作。整体响应时间从数天缩短至90分钟,使安全团队能从繁琐的重复操作中解放,聚焦于更深度的威胁分析与防御体系加固。
支持接入的产品和日志
Agentic SOC默认支持阿里云、华为云、腾讯云、飞塔、长亭、深信服等厂商的日志,同时支持自定义产品接入。
Agentic SOC提供的默认接入策略、数据源、标准化规则详情,请前往控制台查看。
厂商 | 产品名称 | 日志类型 |
阿里云 | 云安全中心(Security Center) |
|
Web 应用防火墙 WAF(Web Application Firewall) | WAF全量/拦截/拦截和观察日志、反爬虫全量日志、API安全事件告警日志、API风险日志、WAF告警日志 | |
云防火墙(Cloud Firewall) | 云防火墙告警日志、云防火墙流量日志、NDR-HTTP日志、NDR-DNS日志、NDR-事件告警日志 | |
DDoS 防护(Anti-DDoS) | DDoS高防全量日志 | |
运维安全中心(堡垒机)(Bastionhost) | 堡垒机日志 | |
CDN | CDN流日志 | |
边缘安全加速 ESA(Edge Security Acceleration) | DCDN 用户访问日志、DCDN WAF拦截日志 | |
API 网关(API Gateway) | API网关日志 | |
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes) | K8s审计日志 | |
云原生数据库 PolarDB | PolarDB-X 1.0 SQL审计日志、PolarDB-X 2.0 SQL审计日志 | |
云数据库 MongoDB 版 | MongoDB审计日志 | |
云数据库 RDS(Relational Database Service) | RDS SQL审计日志 | |
专有网络 VPC(Virtual Private Cloud) | VPC流日志 | |
弹性公网 IP EIP(Elastic IP Address) | 弹性公网IP日志 | |
负载均衡 SLB(Server Load Balancer) | ALB访问日志、CLB访问日志 | |
对象存储 OSS(Object Storage Service) | OSS访问日志 | |
操作审计(ActionTrail) | 操作审计事件日志 | |
配置审计 | 配置审计日志 | |
文件存储 NAS | NAS NFS运行日志 | |
腾讯云 | Web应用防火墙 | 腾讯云Web应用防火墙告警日志 |
云防火墙 | 腾讯云云防火墙告警日志 | |
华为云 | Web应用防火墙 | 华为云Web应用防火墙告警日志 |
云防火墙 | 华为云云防火墙告警日志 | |
Azure | windows defender for endpoint | 终端告警日志 |
Azure Active Directory | 审计日志、登录日志 | |
activity | 审计日志 | |
sql database | SQL Server审计日志 | |
亚马逊(AWS) | CloudTrail(亚马逊云操作审计) | cloudtrail日志 |
Redshift | Redshift审计日志 | |
GuardDuty | GuardDuty finding告警日志 | |
PostgreSQL on Amazon RDS(亚马逊Postgres) | PostgreSQL事件日志 | |
火山云 | 安全中心 | hids告警日志 |
飞塔 | 飞塔防火墙 | 飞塔防火墙告警日志、飞塔防火墙流日志、飞塔审计日志 |
长亭 | 长亭WAF | 长亭WAF告警日志、长亭WAF流日志 |
微软 | 终端事件日志 | windows security event日志 |
深信服 | 深信服统一端点安全管理系统aES(EDR) | 端点检测与响应告警日志 |
山石网科 | 山石网科防火墙 | 山石网科防火墙告警日志 |
斗象科技 | 斗象全流量安全计算分析平台 | 斗象全流量安全计算分析平台产品告警日志 |
天空卫士 | dlp | dlp告警日志 |
微软云 | 微软云活动目录 | 微软云活动目录审计日志、微软云活动目录登录审计日志 |
微步 | onesec | onesec告警日志 |
思科 | 思科Firepower防火墙 | 防火墙告警日志 |
Paloalto | 下一代防火墙 | 防火墙告警日志 |
Cortex XDR | Paloalto Coretex 告警日志、终端类告警日志 | |
Panorama | panorama产品日志 | |
亿格云 | 北极星 | 内网4层网络访问日志、数据审计日志 |
自定义厂商 | 自定义产品 | 防火墙告警日志、防火墙流量日志、WAF告警日志、WAF流量日志 |
版本升级说明
自2025年4月3日开通Agentic SOC服务的用户,可享受升级后的架构。
Agentic SOC 2.0升级架构以日志标准化能力构建为基础,复用日志服务SLS能力,实现第三方云厂商、IDC线下安全厂商日志快速接入,降低了日志数据接入的难度。
Agentic SOC 2.0和Agentic SOC1.0的主要差异请参见Agentic SOC版本对比。
常见问题
Agentic SOC 与传统 SIEM 有什么区别?
Agentic SOC是面向云原生环境的SIEM解决方案,相比传统SIEM,其核心区别在于:
云原生集成:集成阿里云及主流云厂商的各类产品,能够理解云上资产、配置和拓扑关系,实现基于上下文的分析。
内置SOAR能力:集成了安全编排、自动化与响应(SOAR)引擎,不仅能分析和检测威胁,还能通过剧本联动云产品和基础设施进行自动化处置,形成“分析-响应”的闭环。
内置场景化方案:提供大量针对云上高频攻击场景(如挖矿、勒索、Web入侵)的内置检测规则和响应剧本,开箱即用。