隨著安全運營中心 (SOC) 團隊面臨著不斷增長的告警數量,CrowdStrike 推出了 Charlotte AI Detection Triage 系統。該系統能以超過 98% 的準確率自動評估告警,每周可減少超過 40 小時的人工分流工作,同時不會失去對告警的控制和精確性。
CrowdStrike 首席技術官 Elia Zaitsev 向 VentureBeat 表示:"沒有我們的 Falcon Complete 團隊,我們不可能實現這一成果。他們在工作流程中進行分流,手動處理數百萬條檢測結果。正是這個高質量的人工標註數據集使我們達到了超過 98% 的準確率。"
他補充道:"我們注意到攻擊者越來越多地利用 AI 來加速攻擊。通過 Charlotte AI,我們讓防禦者站在了同等地位——提升他們的效率,確保他們能夠實時跟上攻擊者的步伐。"
Charlotte AI Detection Triage 如何為 SOC 帶來更大規模和速度
SOC 團隊每天都在與時間賽跑,尤其是在控制入侵擴散時間方面。CrowdStrike 最新的全球威脅報告顯示,攻擊者在獲得初始訪問權限後,僅需 2 分 7 秒就能開始擴散。
Charlotte AI Detection Triage 的核心架構目標是自動化 SOC 分流並減少人工工作量,同時保持超過 98% 的威脅評估準確率。根據 Falcon Complete 環境中的實時數據,該系統每月處理數百萬次分流決策。
該平台設計用於集成到現有安全工作流程中,並持續適應不斷演變的威脅,使 SOC 團隊能夠更高效地運作並更快地響應關鍵事件。
主要特點包括:
自主分流和低風險告警關閉:過濾掉誤報並關閉低風險告警,使分析師能夠專注於真實威脅。這一過程減少了干擾,使 SOC 團隊能夠優先處理高影響事件,同時最大限度地減少告警疲勞。
Falcon Fusion 集成實現自動響應:整合 CrowdStrike 的安全編排、自動化和響應 (SOAR) 平台,以簡化檢測分流並自動化響應工作流程。這些基於置信度閾值,減少平均響應時間 (MTTR),確保分析師只收到最相關、最可靠的檢測結果。
從業界最大的 SOC 數據集持續學習:通過不斷從 Falcon Complete 中數百萬個專家標記的分流決策中學習,Charlotte AI Detection Triage 可以實時適應新興的攻擊技術。與依賴靜態數據集的通用 AI 模型不同,它基於實際 SOC 數據不斷提高精確度,即使在攻擊者改變戰術時也能保持準確性。
CrowdStrike 針對 SOC 挑戰推出"部署機器人"多 AI 架構
SOC 面臨的威脅性質變化速度超過了許多手動方法所能跟上的程度,有時會使自動化系統不堪重負。高告警量和資源限制的日益增長的挑戰正成為部署多個專業 AI 代理的有力用例。
CrowdStrike 將其多 AI 架構稱為"部署機器人"方法,每個專業代理或"機器人"都經過特定任務的訓練。Charlotte AI 不是依賴單一 AI 模型,而是協調多個專業 AI 代理,每個代理都經過特定任務的訓練。這些 AI 代理協同工作,分析、解釋和響應安全事件,提高準確性並減輕分析師的負擔。
agentic AI 是 SOC 安全的新 DNA
CrowdStrike 最近的 AI 在網路安全中的現狀調查基於對 1,000 多名網路安全專業人士的採訪,突出了 SOC 中 AI 採用的關鍵驅動因素。
主要見解包括:
平台優先的 AI 採用:80% 的受訪者更傾向於將生成式 AI 集成到網路安全平台中,而不是作為獨立工具。
專為安全設計的 AI:76% 的人認為生成式 AI 必須專門為網路安全設計,需要深厚的安全專業知識。
數據泄露憂慮推動 AI 需求:74% 的受訪者在過去 12 到 18 個月內遭受過數據泄露或擔心漏洞,強化了對 AI 驅動的安全自動化的緊迫性。
重視投資回報而非成本:CISO 優先考慮能夠明顯改善檢測和響應速度的 AI 解決方案,而不是僅關注價格。
安全和治理很重要:AI 採用取決於明確的安全、隱私和治理結構。
通過"有界自主"確保 AI 安全:CrowdStrike 如何指導負責任地採用 Charlotte
CrowdStrike 的調查顯示,87% 的安全領導者已經實施或正在制定新政策來管理 AI 採用,這是由數據泄露、對抗性攻擊和產生誤導性見解的"幻覺"等問題驅動的。
這些挑戰對於 Charlotte AI Detection Triage 特別重要,因為它利用大規模 AI 來自動化 SOC 工作流程。
CrowdStrike 通過 Zaitsev 稱之為"有界自主"的概念來緩解這些風險——讓客戶控制 AI 在分流和響應中的權限範圍。
通過持續從 Falcon Complete 中的實際 SOC 數據中學習,Charlotte AI Detection Triage 能夠適應不斷演變的威脅,同時減少告警疲勞。通過"有界自主",安全團隊既能利用 AI 驅動的分流帶來的速度和效率,又能保持負責任的實際應用所需的安全guardrails。
