Agentic SOC は、Agentic AI エンジンを搭載し、階層化されたマルチエージェントの協調型アーキテクチャを使用します。チームリーダーが複数の専門エージェントチームを調整し、脅威検出、インシデント調査、対応の調整、セキュリティレポート作成など、セキュリティオペレーションのライフサイクル全体をカバーします。各エージェントは ReAct 推論フレームワークを活用して、自律的な推論と意思決定を行います。これにより、環境の変化をリアルタイムで感知し、攻撃チェーンを動的に分析し、エンドツーエンドの対応を自動的に実行できます。これにより、従来のセキュリティインシデントの調査と対応にかかる時間が数時間または数日から数分に短縮されます。
概要
-
Alibaba Cloud のクラウドネイティブなセキュリティデータドメインインフラストラクチャと深く統合され、大規模セキュリティモデル上に構築された Agentic SOC アーキテクチャは、エンドツーエンドの自動化された感知、深い推論、協調的な調査、迅速なクローズドループ対応が可能な AI エージェントのセキュリティ専門家チームを提供します。このアーキテクチャは 3 つのレイヤーで構成されています。
レイヤー
コンポーネント
責務
クラウドネイティブエンジンレイヤー
Simple Log Service (SLS)、Flink/Scheduled SQL 検出エンジン、iGraph グラフコンピューティング、Qwen 大規模セキュリティモデル、SOAR オーケストレーションエンジン
データストレージ、コンピューティング、AI 機能の基盤を提供します。
エージェント管理プラットフォーム
AgentRun 上に構築
エージェントのライフサイクル管理、タスクスケジューリング、メモリ管理、ツール呼び出しのオーケストレーション。
エージェントインテリジェンスレイヤー
チームリーダー + 複数の専門エージェントチーム
自律的な推論と意思決定を行い、セキュリティオペレーションタスクを実行します。
-
各エージェントは ReAct 推論フレームワーク上で動作します: 環境の感知 → 推論と分析 → アクションの計画 → 操作の実行 → 結果の観察。このサイクルはタスクが完了するまで繰り返されます。
エージェントの機能は、ご使用の Agentic SOC のエディションによって異なります。Agentic SOC (基本プラットフォーム) とセキュリティオペレーションエージェント (アドオンモジュール) の違いについては、「Agentic SOC 基本プラットフォームとセキュリティオペレーションエージェントの違い」をご参照ください。
チーム編成とエージェントの概要
Agentic SOC は、チームリーダーと複数の専門エージェントチームで構成される、階層化されたマルチエージェントの協調型アーキテクチャを使用します。チームリーダーはグローバルスケジューリング、複雑な意思決定、タスクの分解を処理し、各専門エージェントチームはそれぞれのドメイン内で独立してタスクを実行し、協調します。
チームリーダー
チームリーダーは Qwen シリーズのモデルを基盤としており、エージェントアーキテクチャ全体の中央調整ノードとして機能します。以下の責務を担います。
-
グローバルスケジューリング: ユーザーの入力やシステムによってトリガーされたイベントを受け取り、理解してタスクを計画し、複雑なセキュリティオペレーションタスクをサブタスクに分解します。
-
タスクの分解: 高レベルのセキュリティオペレーション目標を、具体的で実行可能なサブタスクに分解し、適切な専門エージェントチームに割り当てます。
-
複雑な意思決定: 複数のエージェントチーム間の意思決定を調整し、タスクの実行順序と優先度を決定します。
専門エージェントチーム
|
エージェント |
説明 |
|
セキュリティ AI アシスタント |
製品に関する質問に回答し、アラートを説明し、インシデントを要約します。 |
|
脅威検出エージェント |
悪意のある Web トラフィックのトレースバックやその他の検出タスクを実行します。 |
|
インシデント調査エージェント |
インシデントを生成し、詳細な調査を行い、トレーサビリティ分析を実施し、影響を評価します。 |
|
対応調整エージェント |
インシデント対応とエンティティ分析を処理します。 |
|
セキュリティレポートエージェント |
アラート分析レポート、セキュリティオペレーションレポート、インシデント調査レポートを生成します。 |
コアエージェント
ログ標準化エージェント
ログ標準化エージェントは、セマンティック認識技術を使用して、複数ソースの異種ログを自動的に理解し、高品質の検索処理言語 (SPL) クエリを生成します。セマンティクスを統一し、手動でのクエリ記述の必要性をなくします。わずかな微調整のみで済み、ログ標準化の学習コストを大幅に削減します。
-
コア機能:
-
様々な形式の生ログの構造とフィールドの意味を自動的に理解します。
-
ワンクリックで SPL 構文を生成し、生ログのフィールドを標準化されたセキュリティデータモデルにマッピングします。
-
簡単なポイントアンドクリック操作で標準化ルールを微調整でき、複雑な解析ステートメントを手動で記述する必要がなくなります。
-
-
使用例:
-
[Security Center console] > [Agentic SOC] > [Management] > [Access Settings] へ移動します。左上隅で、アセットが所在するリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
-
Integration Settings ページの Standardized Rule タブで、カスタムアクセスルールを修正または作成します。Sample Log を入力した後、Security AI Assistant を呼び出して、最適化の提案を得ることができます。

-
インシデント調査エージェント
インシデント調査エージェントは、ReAct/Chain of Thought (CoT) 推論フレームワーク上に構築されています。環境の変化を継続的に感知します。新しいホストまたはネットワークのアラートがインシデントに関連付けられ、インシデントのステータスが "Unprocessed" の場合、エージェントは自律的に調査と分析を開始します。これにより、以前は数時間から数日かかっていた面倒な調査作業が数分に短縮されます。
-
コア機能:
-
インシデント調査エージェントは、[確認済みの攻撃]、[誤検知の疑い]、または [情報不足] という明確な結論を提供します。
-
そのコア調査機能は Qwen シリーズのモデルに基づいて構築されており、インシデントの分類、エンティティの認識、攻撃パスの推論をサポートします。調査結果に基づいて、影響範囲を分析し、攻撃チェーンとタイムラインを再構築します。
-
-
使用例:
-
ページに AI 分析結果が表示されます。

-
インシデント詳細ページで、インシデントの概要、影響範囲、関連する攻撃チェーンの段階、検出ルール、アラートソースを表示できます。トレーサビリティグラフを使用して、完全な攻撃チェーンとタイムラインを表示できます。

-
インシデント詳細ページでは、Agent Chain-of-Thought に背景コンテキスト、推論ステップ、結論の要約などの情報が表示され、エージェントの調査プロセスと推論を理解するのに役立ちます。

-
インシデント調査レポートエージェント
-
インシデント調査レポートエージェントは、完全な技術調査レポートを生成します。このレポートは、セキュリティインシデントをレビューし、証拠と対応アクションを統合し、体系的な改善の推奨事項を提供します。レポートには、インシデントの分類と概要、攻撃チェーンとタイムライン、影響評価、根本原因分析、侵害指標 (IOC)、体系的な強化策の推奨 が含まれます。
-
使用例: 対象のインシデントの詳細ページに移動し、上部にある Full Report をクリックしてレポート詳細ページを表示します。

エンティティ分析エージェント
エンティティ分析エージェントは、AI を使用して悪意のあるエンティティのリスクレベルを評価し、どのプレイブックやツールを対応に使用するかを自律的に推論して決定します。
-
コア機能:
-
エンティティの基本情報、分析プロセス、結論、推奨アクションなど、エンティティの分析プロセスを表示します。
-
セキュリティ AI アシスタントを通じてエンティティ分析を呼び出し、IP、ファイル、プロセス、ドメイン名、ホスト、コンテナなどのエンティティを分析できます。
-
エージェントがエンティティを悪意があると判断した場合、ワンクリックで実行できる対応ポリシーを自動的に推奨します。
-
-
使用例: インシデント詳細ページで、Entity タブに移動し、処理したいエンティティを見つけて AI Analysis をクリックします。

インシデント対応エージェント
このエージェントは、調査結果に基づいて影響範囲を分析し、手動レビュー後に自動的に実行される、段階的で慎重な対応の推奨事項を提供します。
-
コア機能:
-
インテリジェントな対応の推奨事項: ログ、脆弱性データ、脅威インテリジェンス、ビジネスコンテキストを取得して、対応計画を正確に検証します。
-
数秒での対応: ツール (プレイブック、脅威インテリジェンス、サンドボックス、OpenAPI など) を自動的に呼び出し、ブロック、隔離、検証などの操作を実行します。
-
手動レビューメカニズム: 重要な意思決定ポイントで手動確認をサポートし、効率とセキュリティのバランスを取ります。
-
-
使用例:
-
セキュリティイベントの処理 ページで、対象のインシデントを見つけます。操作する 列で、Recommended Response をクリックします。
-
Agent Recommended Policy パネルで、処理したい悪意のあるエンティティを選択します。
説明エージェントは適切なプレイブックを自動的に選択し、関連するパラメーターを設定します。手動での修正は必要ありません。

-
手動で確認した後、Resolve をクリックします。
-
脅威検出エージェント
-
コア機能: 複数のドメイン固有のインテリジェントエージェントが、大規模で異種のデータセットに対して深いセマンティック理解、相関分析、攻撃の帰属特定を実行します。これにより、既知および未知のセキュリティ脅威を 24 時間体制で自動的かつ正確に特定する、包括的なデジタルセキュリティハブが作成されます。
-
使用例: 悪意のある Web トラフィックトレースバックエージェント は、ホスト側のアノマリーアラートに基づいて悪意のある Web トラフィックを追跡します。ホストのアラートを WAF のフローログと相関させることで、アラートから帰属の手がかりまで、そして新しいアラートからクロスドメインの相関インシデントまでの完全な分析チェーンを構築し、対応するセキュリティアラートを生成します。
エージェント主導のインシデント対応ワークフロー
典型的なセキュリティインシデント対応では、複数のエージェントが連携して、検出から対応までのエンドツーエンドのプロセスを完了します。ワークフローは以下の 5 つの段階に分かれています。
|
段階 |
目標 |
アウトプット |
|
インシデントの概要 |
何が起こったかを判断する |
インシデントの概要、攻撃のタイムライン、攻撃ベクトルのリスト、関連する ATT&CK 攻撃段階、攻撃手法のタイプ。 |
|
トレーサビリティ調査 |
影響範囲を評価する |
アラートコンテキストの推論、影響を受けるアセットのリスト、悪意のあるエンティティ (IP、ファイル、プロセス、ホストなど) のリスト、悪意のあるエンティティの分析。 |
|
根本原因分析 |
初期侵入点を特定する |
ログ証拠の調査、疑わしい侵入点の分析、疑わしい行動の分析、悪用された弱点 (脆弱性、ベースライン、アクセスキー) の分析、分析の結論。 |
|
対応の推奨事項 |
封じ込めと強化の計画を策定する |
緊急対応の推奨事項、脆弱性の修正提案、システム強化の推奨事項、誤検知のホワイトリスト登録提案、ログソースの補足提案。 |
|
インシデント対応 |
アクションを実行し、ツールを呼び出す |
エージェントは手動レビュー用にフォーマットされた対応計画を出力します。その後、ツール (プレイブック、脅威インテリジェンス、サンドボックス、OpenAPI など) が自動的に呼び出されて実行されます。 |
パフォーマンスメトリクス
|
主要メトリクス |
説明 |
|
自律的な調査率: 81% |
AI エージェントは、人間の介入なしで、完全なアラートデータに対して検証された L1/L2 インシデント分析を独立して完了します。 |
|
アラートからインシデントへの集約率: 99.94% |
毎週数十万から数百万のアラートが処理され、数百のセキュリティインシデントに集約されます。 |
|
調査レポートの効率: 100 倍向上 |
調査レポートの生成効率を 100 倍向上させます。完全な攻撃チェーンレポートが自動的に生成され、生成時間が数時間から数分に短縮されます。 |
|
ログ標準化の効率: 90% |
セマンティック認識技術は、異種ソースからのログを自動的に解析およびマッピングし、統一されたセキュリティモデルに変換して、ワンクリックで SPL を生成します。 |