Agentic SOC以Agentic AI為核心引擎,採用分層多智能體(Multi-Agent)協同架構,由Team Leader統一調度多個專業Agent團隊,覆蓋威脅檢測、事件調查、響應協同、安全報告等安全營運全鏈路環節。各Agent基於ReAct推理架構進行自主推理與決策,能夠即時感知環境變化、動態分析攻擊鏈、自動執行端到端的響應處置,將傳統安全事件調查與響應的小時級甚至天級響應壓縮至分鐘級。
概述
Agentic SOC的Agent架構深度融合阿里雲雲原生安全資料域基礎設施,基於安全大模型構建,為使用者提供自動感知、深度推理、協同調查、快速閉環的端到端AI Agent安全專家團隊,整體架構自下而上分為三層。
層級
組成
職責
雲原生引擎層
Log ServiceSLS、Flink/定時SQL檢測引擎、Igraph圖計算、安全大模型Qwen、SOAR編排引擎
提供資料存放區、計算和AI能力基礎
Agent管理平台
基於AgentRun構建
Agent生命週期管理、任務調度、記憶管理、工具調用編排
Agent智能體層
Team Leader + 多專業Agent團隊
自主推理與決策,執行安全營運任務
各Agent基於ReAct推理架構工作:感知環境 → 推理分析 → 規划行動 → 執行操作 → 觀察結果,迴圈迭代直至任務完成。
Agent根據購買的Agentic SOC版本不同,支援程度也不一樣,關於Agentic SOC(基礎平台)和 安全營運 Agent(增值模組)差異,請參見Agentic SOC基礎版和安全營運 Agent差異。
Team組織與Agent全景
Agentic SOC採用分層Multi-Agent協同架構,由一個Team Leader和多個專業Agent團隊組成。Team Leader負責全域調度、複雜決策和任務拆解,各專業Agent團隊在各自領域獨立執行並協同配合。
Team Leader
Team Leader基於通義千問(Qwen)系列模型構建,是整個Agent架構的中樞調度節點,承擔以下職責:
全域調度:接收並理解使用者輸入意圖或系統觸發事件,進行任務規劃,將複雜安全營運任務拆解為多個子任務。
任務拆解:將高層級的安全營運目標分解為具體的、可執行檔子任務,分配給對應的專業Agent團隊。
複雜決策:在多個Agent團隊之間進行決策協調,確定任務的執行順序和優先順序。
專業Agent團隊
Lead Agent | 領域專家 Agent |
安全 AI 助手 | 產品諮詢、警示解釋、事件摘要等。 |
威脅檢測 Agent | 惡意Web流量回溯等。 |
事件調查 Agent | 事件產生、深度調查、溯源分析、影響評估等。 |
響應協同 Agent | 事件處置、實體研判等。 |
安全報告 Agent | 警示分析報告、安全營運報告、事件調查報告等。 |
核心Agent詳解
日誌標準化Agent
日誌標準化Agent利用語義識別技術,自動理解多源異構日誌並產生高品質SPL(Search Processing Language)查詢語句,統一語義、免寫查詢語句,僅需微調,大幅降低使用者學習與使用門檻,加速日誌標準化接入效率。
核心能力:
自動理解不同格式的原始日誌結構和欄位含義。
一鍵產生SPL文法,將原始日誌欄位對應為標準化安全資料模型。
支援使用者通過簡單的點選方式微調標準化規則,無需手動編寫複雜的解析語句。
使用範例:
訪問Security Center控制台-Agentic SOC-管理-接入設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在接入中心的標準化規則頁簽,修改或建立自訂接入規則時,填寫完日誌樣本後,可喚起安全AI助手擷取最佳化建議。
事件調查Agent
事件調查Agent基於ReAct/CoT(Chain of Thought)推理架構。持續感知環境變化,當有新的主機、網路警示關聯到事件時,且事件狀態為“未處理”時,將自主開始事件調查和研判分析工作。將長達數小時甚至數天的繁瑣調查工作壓縮到分鐘級。
核心能力:
事件調查Agent提供明確的研判結論:真實攻擊、疑似誤判或資訊不足。
基於Qwen 系列模型構建核心調查能力,支撐事件定性、實體識別、攻擊路徑推理任務,根據事件調查結果綜合分析影響面,還原攻擊路徑和時間軸。
使用範例:
可在頁面查看,AI研判結果。
在事件詳情頁查看事件概述,影響面說明,涉及的攻擊鏈階段,檢測規則和警示來源等,通知提供溯源圖查看完整的攻擊鏈路和時間軸。
事件調查報告Agent
核心能力:事件調查報告Agent從事件應急響應專家角度,輸出完整的事件調查技術報告,複盤完整安全事件經過,匯總證據資訊和處置過程,提供體系化改進建議。報告內容包括事件定性與摘要、攻擊鏈路和時間軸、影響面評估、根因分析、IOC(攻擊指標)證據指標、體系化加固建議。
使用範例:進入目標事件詳情頁,單擊頂部的完整報告,進入報告詳情頁。
實體研判Agent
實體研判Agent基於AI Agent綜合研判惡意實體的風險程度,自主推理決策調用哪個劇本或工具進行處置。
核心能力:
展示針對實體物件的分析過程,包括基本資料、研判過程、研判結論和處置建議。
支援通過安全AI助手喚起實體分析,對IP、檔案、進程、網域名稱、主機、容器等實體進行研判。
判定為惡意時,自動推薦處置策略並可一鍵執行。
使用範例:進入事件詳情頁,在實體頁簽定位至需要處理的實體,單擊AI分析。
事件處置Agent
從事件應急響應專家角度,根據事件調查結果,綜合分析影響面,提供階段性、謹慎的處置建議,人工審核後自動執行。
核心能力:
智能處置推薦:調取日誌、漏洞、情報、業務上下文,準確校正處置方案。
秒級響應:自動調用工具(劇本、情報、沙箱、OpenAPI等)執行封鎖、隔離、查證等操作。
人工審核機制:關鍵決策節點支援人工確認,兼顧效率與安全。
使用範例:
在安全事件處置首頁,針對目標事件,單擊操作列一鍵處置。
在Agent 推薦處置策略面板,選中需處置的惡意實體。
說明Agent將自動選擇合適的劇本,並配置好相關的參數,無需人工修改。
人工確認後,單擊確定處置。
威脅檢測Agent
核心能力:多個垂域智能體,對海量多源異構資料進行深度語義理解、關聯推演與攻擊溯源,從而實現全天候、自動化且精準識別各類已知與未知安全威脅的綜合性數字安全中樞。
使用範例:惡意Web流量回溯Agent根據主機側異常警示,回溯惡意Web流量,關聯主機警示與WAF流日誌,實現從警示到溯源線索、從新警示到跨域關聯事件的完整分析鏈路,並產生對應的安全警示。
AI Agent驅動的事件調查與響應流程
在典型的安全事件處理中,多個Agent協同工作,完成從檢測到響應的全鏈路閉環。分為以下五個階段:
階段 | 目標 | 輸出 |
事件概述 | 確定發生了什麼 | 事件概述、攻擊時間軸、攻擊者向量列表、涉及ATT&CK攻擊階段、攻擊手段類型。 |
溯源調查 | 評估影響範圍 | 警示上下文推理、受影響資產列表、惡意實體列表(IP、檔案、進程、主機等)、惡意實體分析。 |
根因分析 | 尋找入侵點 | 調查日誌證據、可疑入侵點分析、可疑行為分析、利用弱點分析(漏洞、基準、AK)、研判結論 |
處置建議 | 制定止血和加固方案 | 應急響應建議、漏洞修複建議、系統加固建議、誤判加白建議、日誌源補充建議。 |
事件響應 | 採取行動,調用工具 | 處置計劃格式化輸出並經人類審核,自動調用工具(劇本、情報、沙箱、OpenAPI等)執行。 |
效能指標
關鍵計量 | 說明 |
自主調查研判率:81% | AI Agent獨立完成L1/L2級事件研判,基於全量警示資料驗證無人工幹預。 |
警示關聯彙總事件收斂率:99.94% | 每周數十萬至百萬級警示處置,收斂為百條級安全事件。 |
調查溯源報告輸出效率:提升百倍 | 調查溯源報告輸出效率提升百倍,完整攻擊鏈路報告分鐘級自動產生,相比人工小時級效率數量級提升。 |
日誌接入標準化效率:90% | 用語義識別技術,自動將多源異構日誌解析並映射為統一安全模型,一鍵產生SPL。 |