Коли продавець каже «На базі штучного інтелекту» SOC, Â € Вони можуть означати що завгодно: від базової моделі машинного навчання, навченої на історичних даних сповіщень, до повністю автономного агента, який проводить сортування, розслідування та реагує без участі людини. Обидва поняття просуваються на ринку однаково.
Більшість того, що зараз продається як «AI SOC агент" належить до однієї з трьох категорій, і лише одна з них заслуговує на цей етикетку. Перший – це чат-бот зі скіном безпеки. Це модель великої мови програмування (LLM), підключена до вашої SIEM який може відповідати на запитання природною мовою щодо сповіщень. Він не вживає дій, не проводить багатоетапних досліджень і не навчається на основі вашого середовища. Це інтерфейс запитів, а не автоматизація.
Другий – це статичний механізм розробки сценаріїв із позначкою штучного інтелекту. Автоматизовані робочі процеси та сценарії реагування справді цінні, але деякі постачальники просто перейменували свою існуючу автоматизацію на «агентну», оскільки сценарії тепер містять крок LLM, який генерує підсумковий звіт в кінці. Оркестрація реальна. Позначка «агент» часто не є такою.
Третій — це справжня агентна автоматизація, система, яка може аналізувати сигнали в контексті, співвідносити їх між доменами, визначати пріоритети того, що важливо, та ініціювати дії реагування в межах визначених бар'єрів, водночас тримаючи людей в курсі прийняття рішень з високим рівнем ризику.
Ось що має означати маркетинг. Деякі платформи роками будують це на основі уніфікованих даних, але більшість постачальників, підхоплюючи цю тенденцію, переосмислюють це позначку на архітектурах, які ніколи для цього не були розроблені.
П'ять питань, що викривають Vaporware
Перш ніж купувати щось із написом «штучний агент» на коробці, поставте собі ці п’ять запитань. Відповіді підкажуть вам, чи маєте ви справу зі справжніми можливостями, чи з маркетингом.
1. Чи може воно зробити більше, ніж просто підсумувати?
Чат-бот, який підсумовує сповіщення, корисний, але це ризиковано. Справжнє питання полягає в тому, чи може штучний інтелект співвідносити сигнали між доменами, пріоритезувати випадки за ризиком та виявляти повний контекст, який потрібен аналітику для дій. Якщо «агент» просто повторює те, що ваш SIEM я вже казав вам, це не зменшує робоче навантаження.
2. Чи працює це на всьому вашому стеку?
Більшість «агентів штучного інтелекту», орієнтованих на певних постачальників, бачать лише дані з власних продуктів. Якщо ваш штучний інтелект може міркувати про сповіщення кінцевих точок, але не бачить мережевого трафіку, подій ідентифікації та хмарної телеметрії, він вирішує лише частину проблеми. Реальні загрози не враховують межі постачальників, як і ваша автоматизація.
3. Чи може воно пояснити своє міркування?
Якщо ваш агент штучного інтелекту позначає інцидент як критичний, але не може показати вам ланцюжок доказів, який призвів до цього висновку, ваші аналітики не зможуть його перевірити, а ваші аудитори не зможуть його переглянути. Чорний ящик із написом «довіртеся мені» не працює.
4. Що відбувається, коли це неправильно?
Кожна система штучного інтелекту допускатиме помилки. Чи позначає вона рішення з низькою достовірністю для перевірки людиною? Чи має вона захисні бар'єри, що запобігають руйнівним діям без схвалення? Стан безпеки агентів ШІ у 2026 році. звіт знайдено що лише 14.4% організацій повідомляють про те, що всі агенти ШІ запускаються з повним схваленням безпеки та ІТ-відділу.
5. Які дані він насправді бачить?
Якщо він отримує сповіщення з одного SIEM але не має доступу до мережевих потоків, журналів ідентифікації, подій електронної пошти чи журналів аудиту хмари, він приймає рішення, маючи лише частину загальної картини.
Що справжнього, керованого штучним інтелектом SOC Автоматизація виглядає як
Розрив між маркетингом і реальністю не означає наявність штучного інтелекту в SOC марно. Це означає, що галузь змішує три різні речі, і всі три мають цінність, вони просто не є одним і тим самим.
Запити за допомогою штучного інтелекту допомагають аналітикам швидше отримувати відповіді за допомогою природної мови. Це економить час, але не зменшує робоче навантаження, оскільки аналітику все ще доводиться досліджувати, приймати рішення та діяти.
Розширене штучним інтелектом виявлення використовує машинне навчання для покращення якості сповіщень у джерелі. Механізми кореляції, які групують пов’язані сповіщення у випадки, моделі поведінки, які позначають відхилення, та системи пріоритезації, які виявляють сигнали, що дійсно мають значення. Саме тут сьогодні знаходиться більшість справжньої цінності, і вона непомітно вдосконалюється вже багато років без ярлика «агент».
Автоматизація на основі штучного інтелекту – це передовий етап, коли агенти обмірковують розслідування, вживають заходів реагування та з часом навчаються на відгуках аналітиків. Це реально, але ще на ранній стадії, і платформи, які добре з цим справляються, роблять це обережно, використовуючи засоби контролю, що включають присутність людини.
недавній галузеві дослідження виявили, що лише 14% фахівців з безпеки дозволяють штучному інтелекту самостійно вживати заходів щодо виправлення ситуацій. SOC без участі людини. Це число говорить вам усе про те, де насправді знаходиться галузь.
Організації, які побачили реальні результати, спочатку об’єднали свої дані, зменшили шум сповіщень завдяки кращій кореляції та застосували багаторівневу автоматизацію поверх чистого сигналу. Порядок має значення.
Чому об'єднання даних передує штучному інтелекту
Якщо ваші дані фрагментовані між десятками інструментів безпеки з десятками різних моделей даних, жодний штучний інтелект не вирішить основну проблему. Ви не можете міркувати про ланцюжок атак, розкиданий по непов'язаних консолях. Уніфікація, об'єднання кінцевих точок, мережі, ідентифікаційних даних, електронної пошти та хмарної телеметрії в єдину модель даних, є необхідною умовою, яку необхідно вирішити, перш ніж стане можливою будь-яка значуща автоматизація за допомогою штучного інтелекту.
Ось чому Stellar Cyber побудувала свою Open XDR платформу так, як це було зроблено. Замість того, щоб замінювати ваш існуючий стек безпеки, вона нормалізує та збагачує дані із сотень джерел, а потім використовує багаторівневий штучний інтелект для зіставлення окремих сповіщень зі справами, готовими до розслідування, зіставленими з фреймворком MITRE ATT&CK. Співвідношення відбувається автоматично, що забезпечує економію часу в реальному часі, а не завдяки чат-боту, який підсумовує сповіщення по одному.
У версії 6.3 Stellar Cyber розширила можливості агентного штучного інтелекту, які компанія розробляла роками, додавши короткий опис випадків, який автоматично пояснює, що сталося, чому це важливо та які докази підтверджують висновок, а також автоматизовану сортування електронної пошти для фішингових атак, яка виявляє атаки до їх ескалації. Це не вбудовані функції, що женеться за трендом. Вони є результатом побудови штучного інтелекту на основі єдиної бази даних з першого дня.
Клієнти повідомляють про 8-кратне покращення середнього часу виявлення та 20-кратне – середнього часу реагування. Не тому, що вони додали чат-бота до непрацюючого робочого процесу, а тому, що спочатку об’єднали дані та дозволили штучному інтелекту працювати з повною картиною.
Модель чесної зрілості
Якщо ви оцінюєте ШІ SOC можливості, подумайте про це поетапно, а не вірте в шаблон «все або нічого», який просуває більшість постачальників.
Перший етап – об’єднання даних. Зберіть усю свою телеметрію на єдиній платформі з нормалізованою моделлю даних. Це саме по собі позбавляє вас ручної роботи з кореляції, яка забирає більшу частину часу ваших аналітиків.
Другий етап – це покращене штучним інтелектом виявлення та кореляція. Після об’єднання даних машинне навчання може автоматично групувати пов’язані сповіщення у випадки, визначати пріоритети за ризиком та виявляти інциденти, які дійсно потребують уваги людини.
Третій етап – це обмежена автоматизація. Конкретні, чітко визначені завдання, які ШІ може надійно виконувати: збагачення сповіщень інформацією про загрози, створення зведень розслідувань, сортування фішингових електронних листів. Людина-учасник процесу реагування на будь-які руйнівні дії.
Четвертий етап – адаптивна автоматизація. Система з часом навчається на рішеннях аналітиків, розширюючи свої автономні можливості там, де вона довела свою надійність, і позначаючи нові ситуації для перевірки людиною. Саме в цьому напрямку рухається галузь, але вдавання, що ми вже там, шкодить командам, які виконують роботу.
Більшість постачальників хочуть продати вам четвертий етап, але більшість команд безпеки ще не завершили перший.
Підсумок та наступні кроки
ШІ SOC Ажіотаж навколо агентів не є неправильним і поганим, це просто ранній етап. Технологія реальна, напрямок правильний, а потенціал величезний, але розрив між демонстраціями на конференціях та реальністю виробництва залишається великим. Заповнення цього розриву вимагає спочатку вирішення нудних проблем: об'єднання даних, кореляція сповіщень та виміряна автоматизація з чіткими межами.
Якщо ви оцінюєте платформи, ігноруйте маркетингову мову та зосередьтеся на тому, що насправді скорочує ваш середній час виявлення та реагування. Вимагайте доказів, а не обіцянок.
Хочете побачити єдину безпеку в дії?
Якщо ви відвідуєте RSAC 2026, завітайте до стенду 327. Зареєструйтесь на демоверсію або візьміть безкоштовний пропуск на виставку з кодом 52E1069XP.
