在當前資安威脅持續升溫、攻擊手法加速自動化的趨勢下,企業維運單位與資安團隊正面臨前所未有的挑戰。一方面是勒索軟體與帳號濫用事件層出不窮,另一方面則是日益嚴峻的人力短缺與監控疲乏。為了解決這樣的困境,Splunk與數聯資安分別從TDIR(威脅偵測、調查與回應)平台架構重塑與AI Agent實務導入兩大面向切入,提出新一代智慧資安維運策略,帶動企業SOC(資安監控中心)邁向自動化與自主決策的新紀元。
Splunk/Cisco合作夥伴技術經理崔玥指出,面對不斷擴張的攻擊面、勒索軟體的橫行,以及生成式AI(Gen AI)被濫用於網路攻擊等趨勢,傳統依賴人力的防禦模式已無法有效應對。根據Splunk對全球2,000位資安長的調查,有高達95%的企業曾經歷破壞性資安事件,平均損失更高達400億美元,除了營運中斷與商譽受損外,還包括高額罰款與供應鏈風險外溢。此結果凸顯企業急需導入更具智慧化與自動化能力的資安平台,以強化TDIR各階段的反應效能與處置效率。
在AI導入上,Splunk採取「人機協作」為核心理念,避免盲目追求全自動化,而是透過Human-in-the-Loop設計,保留分析師的判斷空間與決策主導性。其推出的MLTK(機器學習工具)與DSDL(資料科學與深度學習模組)機制,分別支援本地化訓練與部署、向量資料管理與語意搜尋等功能,並進一步結合檢索增強生成(RAG)技術,讓分析師得以快速完成事件摘要、風險研判與通報決策,全面打造反應更快、回應更精準的防禦流程。
實際導入Splunk技術的數聯資安(ISSDU),則以累積超過20年的資安知識庫為基礎,開發出AI Agent應用場景,進一步升級過去以關聯分析與大數據平台為核心的SOC監控流程。透過AI Agent的導入,SOC不僅具備主動決策、自主執行與工具整合能力,更逐步演進為一套能獨立完成調查、回應,甚至主動獵捕威脅的智慧型資安代理架構。
數聯資安資深經理李茂義指出,AI技術已從早期的資料識別與語言生成,邁向具備感知與決策能力的AI Agent階段。這類代理程式不再只是輔助工具,而是能獨立完成調查、分析、回應與威脅獵捕的智慧單元。數聯資安將多年累積的ISSDU資安知識庫與Splunk平台進行整合,搭配SOAR流程引擎、內外部威脅情資與機器學習模型,打造出任務導向的智慧防禦架構。其中,AI Agent能依據風險優先等級主動浮現高風險事件,將低風險事件交由AI哨兵持續監控,實現智慧分級通報與主動式分析,有效緩解告警氾濫與誤判壓力,提升整體監控品質與回應效率。
針對近年快速增長的帳密濫用攻擊樣態,數聯資安更進一步透過AI Agent建構風險識別鏈,整合UEBA(使用者與實體行為分析)、IP與地理位置比對、歷史存取模式分析等多元資料維度,識別偽裝為合法使用者的異常行為。一旦AI完成初步風險評估,即可自動生成事件調查報告,作為分析師進行審核與決策的依據,真正落實人機協作的防禦模式,並提升事件處置的精準度與應變速度。
李茂義強調,AI的導入並非為了取代人力,而是協助資安分析人員從繁瑣且重複的流程中解放出來,提升至戰略層級的風險判斷與決策角色。數聯資安成功結合AI Agent的即時執行力與專家團隊的經驗判斷力,打造出一套兼具效率與精準性的多層資安防護體系。
從技術平台建構到實務導入實踐,Splunk與數聯資安清楚勾勒出AI時代下SOC演進的關鍵方向。平台層面透過資料整合、模型運行與自動化執行實現橫向協作,實務層面則由AI Agent驅動智慧通報與風險主動識別。隨著AI模型持續進化、情資應用日益成熟,AI Agent技術也將從輔助角色進化為營運核心,驅動企業實踐零信任架構、強化資安韌性、邁向真正智慧化的資安營運。