产品详细介绍

Dropzone AI 是一款面向安全运营中心(SOC)的智能化平台,通过一组协同工作的 AI 安全代理(Agents),在不依赖人工实时参与的前提下,自动完成告警调查、威胁狩猎和新兴威胁响应。其核心目标是解决当下 90% SOC 团队“告警量巨大、人力严重不足”的结构性问题,让安全团队从被动疲于应付,转向主动、高效的威胁对抗。

核心能力与价值

  1. Agentic SOC 架构:AI 代理协同作战
    Dropzone AI 部署后,会形成一个由多种角色 AI 代理组成的“Agentic SOC”,这些代理可以分工协作:
  • 告警调查代理:自动对接 SIEM、EDR、云安全等工具,对每一条告警进行上下文分析和证据收集;
  • 威胁狩猎代理:基于假设驱动,在多数据源间进行联邦式威胁狩猎;
  • 威胁情报代理:持续接收最新威胁情报与漏洞信息,自动生成可执行的“狩猎包”;
  • 规划中更多角色:如 AI Detection Engineer、AI Security Data Engineer、AI Forensic Analyst 等,将进一步覆盖检测工程、数据工程与取证分析场景。
  1. 全自动告警调查,覆盖全工具栈
    Dropzone AI 能够 7x24 小时自动调查来自各类安全工具的告警,包括 SIEM、EDR、云平台安全日志等:
  • 自动拉取相关日志、终端事件、身份与访问记录等上下文;
  • 进行因果链分析,判断告警是否真实威胁、影响范围和优先级;
  • 在数分钟内生成高保真调查结论,显著提升告警质量和可操作性。
    实践中,平台已在 300+ 部署中累计自动化了相当于 160 年的人工作业量,帮助企业、MSSP 和政府机构显著缩短告警处理时间。
  1. 假设驱动的联邦威胁狩猎
    传统威胁狩猎往往需要资深分析师投入 10–20 小时进行跨系统排查。Dropzone AI 通过 AI 代理自动执行:
  • 基于攻击路径或情报构建狩猎假设;
  • 在 SIEM、EDR、云环境等多源数据中并行搜索和关联分析;
  • 将原本需要 10–20 小时的狩猎工作压缩到约 1 小时完成。
    这使得安全团队可以更频繁、更系统地开展威胁狩猎,而不再受限于人力和时间。
  1. 新兴威胁与情报的自动运营化
    面对不断涌现的 0day 漏洞、新型攻击手法和攻击活动,Dropzone AI 会:
  • 持续接收并解析威胁情报与漏洞信息;
  • 自动生成对应的“狩猎包”和检测逻辑;
  • 立即在环境中发起针对性狩猎与检测。
    在这一机制下,新兴威胁的响应时间可以从“数天”缩短到“约 2 小时”,即使在夜间或非工作时间,系统也能保持持续警戒和防御强化。
  1. 极大减轻 SOC 人工负担
    通过自动化告警调查和威胁狩猎,Dropzone AI 通常可实现:
  • 手工调查时间减少约 85%;
  • 分析师从“前线重复操作”转向“策略与决策层面”:
    • 决定哪些告警类型需要深入调查;
    • 规划和选择重点狩猎方向;
    • 审批隔离、封禁等关键响应动作;
    • 提供组织业务与风险背景,指导 AI 代理更贴合实际环境。
      安全团队不再被无穷无尽的告警队列拖累,而是将精力集中在高价值工作上。
  1. 快速落地:无需日志迁移、无需编写剧本
    Dropzone AI 设计为“开箱即用”的形态:
  • 部署时间约为 1 小时,可直接对接现有安全工具;
  • 无需进行大规模日志归一化或数据迁移;
  • 无需事先构建复杂 SOAR 剧本或编写代码;
  • 平台预训练完成,可通过自然语言进行“教练式”微调,逐步适配企业自身环境与流程。
    同时,Dropzone AI 不依赖隐藏的外包分析师或人工服务,所有调查与狩猎均由 AI 代理在机器速度下完成,确保可扩展性与一致性。
  1. 应对 AI 驱动的攻击规模化
    攻击者已经在利用 AI 扩大攻击规模:更多攻击活动、更快的横向移动、几乎无停机时间。传统依赖人力的 SOC 难以在节假日、夜间或高峰期保持同等强度的防御。Dropzone AI 通过 7x24 小时运行的 AI 代理团队,让防守方也具备“机器级别”的响应速度和覆盖能力,在攻防对抗中重新获得主动权。

简单使用教程

以下为一个从部署到日常使用的简明流程示例,帮助安全团队快速上手 Dropzone AI。

步骤一:部署与集成

  1. 环境准备
    • 确认现有安全工具(如 SIEM、EDR、云安全平台等)的 API 或日志访问权限;
    • 准备必要的访问凭据和网络连通性(如出站访问策略)。
  2. 部署 Dropzone AI
    • 按照厂商提供的安装向导或部署文档,在指定环境中完成安装(SaaS 或自托管视具体方案而定);
    • 在管理控制台中完成初始配置(组织信息、时区、通知方式等)。
  3. 对接现有安全工具
    • 在 Dropzone 控制台中添加数据源,如:SIEM、EDR、云平台、身份管理系统等;
    • 通过向导输入 API Key、连接地址等信息,完成连接测试;
    • 确认告警和日志可以正常流入 Dropzone AI。

步骤二:启用 AI 告警调查

  1. 配置告警来源与范围
    • 在控制台中选择需要由 AI 自动调查的告警类型或来源(例如:高危/中危告警、特定产品告警等);
    • 设置基础策略,如是否对所有告警自动调查,或仅对特定规则触发的告警进行调查。
  2. 查看 AI 调查结果
    • 在“告警”或“案件”视图中,查看 AI 代理生成的调查报告,包括:事件时间线、证据列表、风险评级和处置建议;
    • 对关键案例进行抽查,验证 AI 结论与团队经验是否一致。
  3. 调整与“教练”AI 行为
    • 通过自然语言反馈方式,对 AI 的判断进行纠正或补充(例如:“此类登录在我们环境中属于正常业务行为”);
    • 将这些反馈固化为组织级规则或偏好,提升后续调查的准确度。

步骤三:开展自动化威胁狩猎

  1. 选择或创建狩猎场景
    • 使用平台内置的狩猎模板(如横向移动、凭证滥用、云权限提升等);
    • 或根据最新威胁情报,使用自然语言描述一个狩猎假设(例如:“查找最近 7 天内来自非常用国家的异常管理员登录并伴随配置变更”)。
  2. 由 AI 代理执行联邦狩猎
    • 启动狩猎任务后,AI 代理会自动在 SIEM、EDR、云日志等多源数据中进行查询和关联;
    • 系统会在约 1 小时内给出狩猎结果,包括可疑实体列表、攻击路径推断和建议处置动作。
  3. 审阅与处置
    • 安全分析师审阅狩猎结果,对高风险发现进行进一步验证;
    • 根据平台建议,执行或审批隔离主机、禁用账号、阻断 IP 等响应动作(可根据组织策略选择自动或半自动执行)。

步骤四:运营化新兴威胁情报

  1. 启用威胁情报接入
    • 在控制台中配置威胁情报源(商业情报、社区情报或内部情报源);
    • 确保平台可以持续接收最新 IOC、攻击手法和漏洞信息。
  2. 自动生成“狩猎包”
    • 当有新漏洞或攻击活动出现时,Dropzone AI 会自动解析情报并生成对应的狩猎逻辑;
    • 安全团队可在控制台中查看和审核这些新生成的狩猎包。
  3. 快速发起针对性狩猎
    • 一键启动针对新威胁的狩猎任务,检查环境中是否已存在相关迹象;
    • 对发现的风险资产或可疑行为进行优先处置,将响应时间从“数天”压缩到“约 2 小时”。

步骤五:持续优化与治理

  1. 定期评估效果
    • 关注关键指标,如告警处理时间、人工调查占比、误报率等;
    • 对比部署前后 SOC 负载和响应效率的变化。
  2. 优化策略与角色分工
    • 根据业务变化和风险偏好,调整哪些告警由 AI 全自动处理,哪些需要人工复核;
    • 明确分析师在“监督与决策”层面的职责,形成稳定的“AI + 人类”协作流程。
  3. 扩展更多 AI 代理能力
    • 随着产品迭代,引入 AI Detection Engineer、AI Security Data Engineer、AI Forensic Analyst 等新代理;
    • 将自动化能力从告警与狩猎扩展到检测工程、数据治理和取证分析等更广泛的安全运营环节。

通过以上步骤,安全团队可以在不推翻现有安全架构的前提下,快速引入 Dropzone AI 的 Agentic SOC 能力,实现对告警调查、威胁狩猎和新兴威胁响应的全面智能化升级。