日本NTT通信业务株式会社(前身为日本NTT通讯公司)于5月20日正式推出了基于自主开发的AI代理“AI Advisor”的“AI SOC”服务。该服务能够实时自动分析日志和警报,自动应对安全事件,无需人工干预。
该服务利用AI实现对威胁的早期发现和快速处理,助力企业强化安全防护。未来三年内,计划推广至50家企业。同时,原有的专家人工SOC服务将继续提供。
在同日举行的新闻发布会上,NTT通信业务管理与安全部安全服务负责人户畑洋介介绍了推出AI SOC的背景。当前,随着AI被恶意利用进行网络攻击,攻击手段日益高级、复杂且快速,安全人才短缺成为行业难题。
针对这一挑战,AI SOC将传统需要1至2小时的人工作业的关联分析缩短至约10分钟,快速识别攻击全貌及影响范围。户畑表示,这实现了从威胁检测到应对的“机器速度”。
AI SOC由三大要素构成:AI Advisor日志分析、托管SOAR自动应对以及专家支持。系统汇聚安全设备和服务器软件产生的大量日志与警报,AI Advisor实时进行关联分析。若检测到病毒警告或异常访问等需应对事件,托管SOAR会自动执行预设的病毒清除、不正常登录阻断等操作流程(Playbook)。对于自动分析和处理无法覆盖的情况,专家团队将提供支持。
此前,NTT通信业务分别提供托管SOAR、专家支持服务及作为聊天机器人功能的AI Advisor。此次将AI Advisor升级为具备关联分析能力,并整合三项服务形成AI SOC。
作为SOAR和日志汇聚的SIEM基础,采用了微软云服务“Microsoft Sentinel”。
与人工分析相比,AI SOC在扩大分析量、实现复杂关联分析及提升响应速度方面表现突出。
AI SOC在发布前经过近一年测试。公司内部应用结果显示,警报调查工作量减少了95%,仅5%由人工处理。某制造企业实现了98%的警报自动应对。
典型应用场景包括:当PC端点安全(EDR)发出高风险警报时,AI Advisor分析判定风险较低,自动执行病毒扫描并向客户发送报告邮件,整个流程自动完成;另一场景是网络安全设备发出警报后,结合其他日志进行关联分析,自动应用网络设备阻断名单等措施。
发布会上还进行了演示,展示了如何将各类安全日志和警报汇聚至Microsoft Sentinel,由AI代理分析,并通过SOAR自动执行预定义的应对流程。
AI Advisor为NTT通信业务自主研发,Playbook也由公司基于丰富经验自行制定。
目前AI代理主要负责日志分析,未来计划开发“漏洞检查代理”、“资产管理代理”、“登录审计代理”及“配置优化代理”等四种AI代理,进一步支持客户的安全运营。
