Security Operations Agent, AI Agent - Security Center - Alibaba Cloud Documentation Center

Agentic SOC didukung oleh mesin Agentic AI dan menggunakan arsitektur kolaboratif multi-agen berlapis. Seorang Team Leader mengoordinasikan beberapa tim Agent khusus untuk mencakup seluruh siklus hidup operasi keamanan, termasuk deteksi ancaman, investigasi insiden, koordinasi tanggapan, dan pelaporan keamanan. Setiap Agent memanfaatkan kerangka penalaran ReAct untuk melakukan penalaran dan pengambilan keputusan secara otonom, sehingga mampu memahami perubahan lingkungan secara real time, menganalisis rantai serangan secara dinamis, dan mengeksekusi tanggapan end-to-end secara otomatis. Dengan demikian, waktu investigasi dan tanggapan insiden keamanan yang biasanya memakan waktu berjam-jam atau berhari-hari dapat dipersingkat menjadi hitungan menit.

Ikhtisar

Terintegrasi secara mendalam dengan infrastruktur domain data keamanan cloud-native Alibaba Cloud dan dibangun di atas model keamanan besar, arsitektur Agentic SOC menyediakan tim ahli keamanan AI Agent yang mampu melakukan persepsi otomatis end-to-end, penalaran mendalam, investigasi kolaboratif, dan tanggapan closed-loop yang cepat. Arsitektur ini terdiri dari tiga lapisan.

Lapisan	Komponen	Tanggung Jawab
Lapisan mesin cloud-native	Simple Log Service (SLS), mesin deteksi Flink/Scheduled SQL, komputasi graf iGraph, model keamanan besar Qwen, mesin orkestrasi SOAR	Menyediakan fondasi untuk penyimpanan data, komputasi, dan kemampuan AI.
Platform manajemen Agent	Dibangun di atas AgentRun	Manajemen siklus hidup Agent, penjadwalan tugas, manajemen memori, dan orkestrasi pemanggilan tool.
Lapisan intelijen Agent	Team Leader + beberapa tim Agent khusus	Menjalankan penalaran dan pengambilan keputusan otonom untuk mengeksekusi tugas operasi keamanan.

Setiap Agent beroperasi dengan kerangka penalaran ReAct: Memahami lingkungan → Menalar dan menganalisis → Merencanakan aksi → Mengeksekusi operasi → Mengamati hasil. Siklus ini berulang hingga tugas selesai.

Penting

Kemampuan Agent bervariasi tergantung edisi Agentic SOC Anda. Untuk perbedaan antara Agentic SOC (Basic Platform) dan Security Operations Agent (modul add-on), lihat Perbedaan antara Agentic SOC Basic Platform dan Security Operations Agent.

Organisasi tim dan ikhtisar agent

Agentic SOC menggunakan arsitektur kolaboratif multi-agen berlapis yang terdiri dari seorang Team Leader dan beberapa tim Agent khusus. Team Leader menangani penjadwalan global, pengambilan keputusan kompleks, dan dekomposisi tugas, sedangkan setiap tim Agent khusus mengeksekusi tugas secara independen dan berkolaborasi dalam ranahnya masing-masing.

Team leader

Team Leader dibangun di atas rangkaian model Qwen dan berfungsi sebagai simpul koordinasi pusat untuk seluruh arsitektur Agent. Tanggung jawabnya meliputi:

Penjadwalan global: Menerima dan memahami input pengguna atau event yang dipicu sistem untuk merencanakan tugas serta memecah tugas operasi keamanan kompleks menjadi subtugas.
Dekomposisi tugas: Memecah tujuan operasi keamanan tingkat tinggi menjadi subtugas spesifik yang dapat dieksekusi dan menugaskannya kepada tim Agent khusus yang sesuai.
Pengambilan keputusan kompleks: Mengoordinasikan keputusan di antara beberapa tim Agent, menentukan urutan eksekusi dan prioritas tugas.

Tim agent khusus

Agent	Deskripsi
Security AI Assistant	Menjawab pertanyaan produk, menjelaskan peringatan keamanan, dan merangkum insiden.
Threat Detection Agent	Menjalankan traceback trafik web berbahaya dan tugas deteksi lainnya.
Incident Investigation Agent	Membuat insiden, melakukan investigasi mendalam, menjalankan analisis ketertelusuran, dan menilai dampak.
Response Coordination Agent	Menangani tanggapan insiden dan analisis entitas.
Security Reporting Agent	Menghasilkan laporan analisis peringatan keamanan, laporan operasi keamanan, dan laporan investigasi insiden.

Agent inti

Log standardization agent

Log Standardization Agent menggunakan teknologi pengenalan semantik untuk secara otomatis memahami log heterogen dari berbagai sumber dan menghasilkan kueri Search Processing Language (SPL) berkualitas tinggi. Agent ini menyatukan semantik dan menghilangkan kebutuhan menulis kueri secara manual. Agent ini hanya memerlukan fine-tuning ringan dan secara signifikan menurunkan kurva pembelajaran untuk standarisasi log.

Kemampuan inti:
- Secara otomatis memahami struktur dan makna field log mentah dalam berbagai format.
- Menghasilkan sintaks SPL dengan satu klik untuk memetakan field log mentah ke model data keamanan terstandarisasi.
- Memungkinkan Anda melakukan fine-tuning aturan standarisasi dengan tindakan point-and-click sederhana, sehingga tidak perlu menulis pernyataan parsing kompleks secara manual.
Contoh penggunaan:
1. Buka Konsol Security Center > Agentic SOC > Management > Access Settings. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
2. Pada halaman Integration Settings, pada tab Standardized Rule, ubah atau buat aturan akses kustom. Setelah Anda memasukkan Sample Log, Anda dapat memanggil Security AI Assistant untuk mendapatkan saran optimasi.

Incident investigation agent

Incident Investigation Agent dibangun di atas kerangka penalaran ReAct/Chain of Thought (CoT). Agent ini terus-menerus memahami perubahan lingkungan. Ketika peringatan host atau jaringan baru dikaitkan dengan suatu insiden dan status insiden tersebut adalah "Unprocessed", Agent secara otonom memulai investigasi dan analisis, sehingga memadatkan pekerjaan investigasi yang sebelumnya memakan waktu berjam-jam atau berhari-hari menjadi hitungan menit.

Kemampuan inti:
- Incident Investigation Agent memberikan kesimpulan yang jelas: Confirmed Attack, Suspected False Positive, atau Insufficient Information.
- Kemampuan investigasi intinya dibangun di atas rangkaian model Qwen, mendukung klasifikasi insiden, pengenalan entitas, dan inferensi jalur serangan. Berdasarkan hasil investigasi, Agent menganalisis cakupan dampak dan merekonstruksi rantai serta garis waktu serangan.
Contoh penggunaan:
- Halaman Agentic SOC > Security Incidents menampilkan hasil analisis AI.
- Pada halaman detail insiden, lihat ringkasan insiden, cakupan dampak, tahapan rantai serangan yang terlibat, aturan deteksi, dan sumber peringatan. Gunakan graf ketertelusuran untuk melihat rantai serangan dan garis waktu lengkap.
- Pada halaman detail insiden, Agent Chain-of-Thought menampilkan informasi seperti konteks latar belakang, langkah-langkah penalaran, dan ringkasan kesimpulan untuk membantu Anda memahami proses investigasi dan penalaran Agent.

Incident investigation report agent

Incident Investigation Report Agent menghasilkan laporan investigasi teknis lengkap yang meninjau insiden keamanan, mengonsolidasikan bukti dan tindakan tanggapan, serta memberikan rekomendasi peningkatan sistematis. Laporan tersebut mencakup klasifikasi dan ringkasan insiden, rantai serangan dan garis waktu, penilaian dampak, analisis akar masalah, indikator kompromi (IOCs), serta rekomendasi penguatan sistematis.
Contoh penggunaan: Buka halaman detail insiden target dan klik Full Report di bagian atas untuk melihat halaman detail laporan.

Entity analysis agent

Entity Analysis Agent menggunakan AI untuk menilai tingkat risiko entitas berbahaya dan secara otonom menalar keputusan playbook atau tool yang akan digunakan untuk tanggapan.

Kemampuan inti:
- Menampilkan proses analisis suatu entitas, termasuk informasi dasar, proses analisis, kesimpulan, dan tindakan yang direkomendasikan.
- Mendukung pemanggilan analisis entitas melalui Security AI Assistant untuk menganalisis entitas seperti IP, file, proses, nama domain, host, dan kontainer.
- Jika Agent menentukan suatu entitas berbahaya, Agent secara otomatis merekomendasikan kebijakan tanggapan untuk eksekusi satu klik.
Contoh penggunaan: Pada halaman detail insiden, buka tab Entity, temukan entitas yang ingin ditangani, lalu klik AI Analysis.

Incident response agent

Agent ini menganalisis cakupan dampak berdasarkan hasil investigasi dan memberikan rekomendasi tanggapan bertahap yang hati-hati, yang dieksekusi secara otomatis setelah tinjauan manual.

Kemampuan inti:
- Rekomendasi tanggapan cerdas: Mengambil log, data kerentanan, intelijen ancaman, dan konteks bisnis untuk memvalidasi rencana tanggapan secara akurat.
- Tanggapan dalam hitungan detik: Secara otomatis memanggil tool (playbook, intelijen ancaman, sandbox, OpenAPI, dll.) untuk menjalankan operasi seperti pemblokiran, isolasi, dan verifikasi.
- Mekanisme tinjauan manual: Mendukung konfirmasi manual pada titik keputusan kritis untuk menyeimbangkan efisiensi dan keamanan.
Contoh penggunaan:
1. Pada halaman Security Incidents, temukan insiden target. Pada kolom Actions, klik Recommended Response.
2. Pada panel Agent Recommended Policy, pilih entitas berbahaya yang ingin ditangani.
  
  Catatan
  Agent secara otomatis memilih playbook yang sesuai dan mengonfigurasi parameter terkait. Tidak diperlukan modifikasi manual.
3. Setelah konfirmasi manual, klik Resolve.

Threat detection agent

Kemampuan inti: Beberapa agent cerdas berbasis domain melakukan pemahaman semantik mendalam, korelasi, dan pelacakan sumber serangan pada dataset heterogen berskala besar, sehingga menciptakan pusat keamanan digital komprehensif yang secara otomatis dan akurat mengidentifikasi ancaman keamanan yang dikenal maupun tidak dikenal sepanjang waktu.
Contoh penggunaan: Malicious Web Traffic Traceback Agent melacak trafik web berbahaya berdasarkan peringatan anomali di sisi host. Agent ini mengorelasikan peringatan host dengan log aliran WAF untuk membangun rantai analisis lengkap dari peringatan ke petunjuk pelacakan sumber serangan, serta dari peringatan baru ke insiden terkorelasi lintas domain, lalu menghasilkan peringatan keamanan yang sesuai.

Alur kerja tanggapan insiden berbasis agent

Dalam tanggapan insiden keamanan tipikal, beberapa Agent bekerja sama untuk menyelesaikan proses end-to-end dari deteksi hingga tanggapan. Alur kerja ini dibagi menjadi lima tahap berikut:

Tahap	Tujuan	Output
Ringkasan Insiden	Menentukan apa yang terjadi	Ringkasan insiden, garis waktu serangan, daftar vektor penyerang, tahapan serangan ATT&CK yang terlibat, dan jenis teknik serangan.
Investigasi Ketertelusuran	Menilai cakupan dampak	Penalaran konteks peringatan, daftar aset terdampak, daftar entitas berbahaya (IP, file, proses, host, dll.), dan analisis entitas berbahaya.
Analisis Akar Masalah	Mengidentifikasi titik intrusi awal	Investigasi bukti log, analisis titik intrusi mencurigakan, analisis perilaku mencurigakan, analisis kelemahan yang dieksploitasi (kerentanan, garis dasar, kunci akses), dan kesimpulan analisis.
Rekomendasi Tanggapan	Menyusun rencana penahanan dan penguatan	Rekomendasi tanggapan darurat, saran perbaikan kerentanan, rekomendasi penguatan sistem, saran daftar putih false positive, dan saran pelengkap sumber log.
Tanggapan Insiden	Mengambil tindakan dan memanggil tool	Agent menghasilkan rencana tanggapan terformat untuk tinjauan manusia. Kemudian, tool (seperti playbook, intelijen ancaman, sandbox, dan OpenAPI) dipanggil secara otomatis untuk eksekusi.

Metrik kinerja

Metrik utama	Deskripsi
Tingkat investigasi otonom: 81%	AI Agent secara mandiri menyelesaikan analisis insiden L1/L2, divalidasi terhadap seluruh data peringatan tanpa intervensi manusia.
Tingkat konvergensi peringatan ke insiden: 99,94%	Ratusan ribu hingga jutaan peringatan diproses setiap minggu dan dikonvergensikan menjadi beberapa ratus insiden keamanan.
Efisiensi laporan investigasi: Peningkatan 100x	Meningkatkan efisiensi pembuatan laporan investigasi hingga 100 kali lipat. Laporan rantai serangan lengkap dihasilkan secara otomatis, memangkas waktu pembuatan dari hitungan jam menjadi menit.
Efisiensi standarisasi log: 90%	Teknologi pengenalan semantik secara otomatis mengurai dan memetakan log dari berbagai sumber ke model keamanan terpadu, menghasilkan SPL dengan satu klik.