产品详细介绍

Prophet Security 的 AI SOC 平台是一款面向现代安全运营中心(SOC)的智能化安全运营平台,通过一支“AI SOC 分析师”代理舰队,覆盖从告警分级、调查分析、响应处置到持续威胁狩猎的完整 SecOps 流程。平台由资深 SecOps 专家打造,目标是在不增加人力的前提下,大幅提升告警处理深度与速度,减少漏报与误报,缓解分析师疲劳。

平台核心能力围绕多类自主 AI 代理展开:

  1. 自主告警分级与调查(Autonomous Triage & Investigation)

    • AI 代理在告警产生后即时进行摘要与风险评估,自动生成完整的调查计划。
    • 推理型代理会模拟资深分析师的思路,围绕告警提出关键问题,并在日志、终端、网络、安全设备等多数据源之间灵活“横跳”取证,构建端到端的攻击链视图。
    • 对传统 DLP 等高噪声场景,AI 能对每一条告警进行一致、系统化的调查,避免因告警量过大或人员疲劳导致的大量告警无人跟进。

  2. 加速事件响应与处置(Incident Response & Remediation)

    • 平台自动识别真正的阳性告警(True Positive),并根据业务影响与威胁严重程度进行优先级排序,帮助团队聚焦关键威胁。
    • 对高置信度威胁,响应代理可执行全自动化处置动作,如隔离终端、阻断 IP/域名、禁用账号、更新阻断策略等。
    • 对复杂或高风险场景,平台提供“人机协同”模式:AI 给出建议方案与处置步骤,由人工一键确认或调整,兼顾效率与安全性。
    • 响应代理可与现有工单系统、SOAR、ITSM、案例管理工具无缝集成,贯穿事件从发现、分析到关闭的完整生命周期。

  3. 持续威胁狩猎与检测优化(Threat Hunting & Detection Tuning)

    • 利用 AI 代理定期或按需在全局数据中进行主动威胁狩猎,发现尚未触发传统规则的潜在攻击行为。
    • 根据历史告警与调查结果,持续优化检测规则与阈值,减少噪声告警,提升检测质量。
    • 平台可将人类分析师的经验固化为可复用的“狩猎与调查剧本”,由 AI 自动执行和迭代。

  4. 类人分析思维与可解释性(Human-like Reasoning & Explainability)

    • Prophet AI 模拟人类分析师的调查路径:从告警线索出发,逐步提出“谁、什么、何时、何地、如何、影响几何”等问题,并在多系统间反复求证。
    • 每一步推理与取证都有清晰的操作记录和理由说明,便于审计、复盘和培训新成员。
    • 这种类人调查方式确保“每一条告警都被认真对待”,降低因疲劳或经验不足导致的遗漏。

通过上述能力,Prophet Security AI SOC 平台能够显著提升 Tier 1、Tier 2、Tier 3 各层级任务的处理效率:Tier 1 告警分级与初步调查高度自动化,Tier 2 深度分析得到 AI 推理辅助,Tier 3 高级威胁狩猎与检测优化由 AI 持续驱动,使 SOC 团队从“被动应付告警”转向“主动防御与优化”。

简单使用教程

以下为一个从接入到日常使用的简明流程示例,帮助安全团队快速上手 Prophet Security AI SOC 平台:

  1. 环境准备与系统接入

    • 梳理现有安全与基础设施系统:SIEM、EDR/XDR、防火墙、WAF、邮件安全网关、身份与访问管理(IAM)、工单/案例管理系统等。
    • 在 Prophet 平台中配置数据与接口连接:
      • 为 SIEM、日志平台等配置读取权限,用于获取告警与事件日志;
      • 为 EDR、网络设备、身份系统等配置响应接口,用于执行隔离、阻断、禁用账号等动作;
      • 对接现有工单或案例管理系统,实现告警与事件的自动建单与同步更新。

  2. 基础策略与权限配置

    • 定义 AI 代理可执行的自动化动作范围,例如:
      • 允许自动隔离高置信度受感染终端;
      • 允许自动阻断已确认恶意的 IP/域名;
      • 对涉及关键业务系统的处置动作,必须由人工确认后执行。
    • 为不同角色(SOC 分析师、经理、合规人员等)配置访问权限和审批流程,确保关键操作可追溯、可审计。

  3. 启用自主告警分级与调查

    • 在平台中开启对指定告警源(如 SIEM 告警、EDR 告警、DLP 告警)的 AI 分级功能。
    • 为常见告警类型(如可疑登录、恶意文件检测、数据外泄尝试等)选择或调整默认调查剧本。
    • 观察一段时间内 AI 生成的告警摘要、调查步骤与结论,对不符合预期的场景进行反馈和微调,以便平台更贴合本组织环境。

  4. 配置自动响应与人机协同流程

    • 为不同严重级别的告警设定响应策略:
      • 高危且高置信度:允许 AI 自动执行预定义处置动作,并在事后生成完整报告;
      • 中危或环境复杂:由 AI 给出处置建议和操作步骤,分析师一键确认后执行;
      • 低危或信息性告警:由 AI 自动归档、打标签或合并,减少人工干预。
    • 在工单系统中配置自动建单规则:当 AI 确认为真实事件时,自动创建或更新事件工单,并附上调查记录与建议处置方案。

  5. 开展 AI 驱动的威胁狩猎

    • 使用平台提供的威胁狩猎模板,选择时间范围、数据源和关注对象(如特定账号、主机、IP 段等),由 AI 自动执行查询与分析。
    • 将成功发现问题的狩猎流程保存为“狩猎剧本”,定期由 AI 自动运行,并将结果以告警或报告形式推送给团队。
    • 根据狩猎结果优化检测规则和告警阈值,减少噪声告警,提升整体检测质量。

  6. 日常运营与持续优化

    • 定期查看平台生成的运营报告,包括:告警处理量、自动化处置比例、平均响应时间、误报率与漏报风险等指标。
    • 对关键事件进行复盘,审查 AI 的调查路径与决策依据,将优秀案例沉淀为标准化剧本。
    • 随着团队经验积累,逐步扩大 AI 自动化覆盖范围,让 AI 代理承担更多重复性、流程化工作,使人类分析师专注于复杂攻击与战略性安全建设。