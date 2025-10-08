在生成式AI（GenAI）快速演進、威脅手法日新月異的情勢下，企業的資安維運中心（SOC）正面臨轉型關鍵點。傳統的資安事件控管平台（SIEM）搭配資安協調、自動化與回應（SOAR）與威脅情報，雖提供了基本的偵測與反應能力，但面對現代雲原生架構、多雲混合環境與人力短缺的挑戰，仍顯得力有未逮。

為此，Google Cloud Security提出「Agentic SOC」的新世代架構，強調透過代理型人工智慧（Agentic AI）驅動自主調查、回應與防禦，打造能跨雲整合、即時運作、具備判斷與學習能力的安全中樞，成為企業資安現代化的基礎。

Google Cloud Security北亞區總經理徐海國指出，傳統SIEM多半部署於地端，然而在雲端與地端資料日益分流的趨勢下，許多台灣企業被迫同時建置兩套SIEM系統，增加事件關聯分析與回應流程的複雜度，也抬高了維運成本。面對這樣的環境變化，企業亟需的並非僅是將既有SIEM上雲，而是重新建構一個能統一地端與雲端資料視野、具備協作彈性與自動化能力的資安平台。Google的雲原生SIEM解決方案正是以此為設計核心，協助客戶打造具備全局可視性、整合偵測與協作調查能力的統一資安營運平台（Unified SecOps Platform）。

AI驅動SOC作業邏輯革新

談及AI如何重塑SOC作業模式，Google Cloud Security與Mandiant亞太區及日本首席技術總監Steve Ledzian指出，雖然生成式AI已在近年快速成長，但真正讓SOC自動化作業邁向質變的技術躍進，來自「Agentic AI」的導入。與傳統語意生成AI不同，Agentic AI具備執行任務的能力與明確目標導向，能根據情境狀態進行判斷與決策，更可相互協作，串連整體資安事件處理流程，涵蓋告警分類（Triage）、事件調查（Investigation）、惡意程式分析（Malware Analysis）、乃至最終的事件回應（Incident Response），全面實現具備推理能力的自動化調查機制。

Google Cloud Security與Mandiant亞太區及日本首席技術總監Steve Ledzian（右）與北亞區總經理徐海國（左）指出，透過Agentic SOC，企業將能有效突破傳統資安作業瓶頸，實現具備即時性、彈性與決策力的現代化資安營運體系。

Steve Ledzian舉例說明，當系統偵測到異常並觸發告警後，Triage Agent會先針對告警進行分類與優先排序，判斷其可信度與風險等級，再交由Investigation Agent進一步展開調查。調查過程中，AI代理會應用Grounding技術詳實記錄其推論過程，並可連結至威脅情資資料庫或內部AI模型進行佐證，以提升調查的可追溯性與準確性。若案件涉及可疑執行檔，系統則會自動呼叫Malware Analysis Agent進行樣本行為拆解與意圖判斷，最後再將結果交由Response Agent執行封鎖動作、啟用票證或推動密碼重設等後續應變。整體流程均受到預設防線（Guardrail）控管，並隨實際執行經驗強化各自領域的專業能力。

Steve Ledzian直言，這樣由AI主導的作業流程正是傳統SOAR平台難以企及的終極目標。他強調：「SOAR設計初衷雖是實現資安自動化，但過去僅止於動作的自動化，例如封鎖IP、通報，並未觸及調查過程本身的自動化。Agentic SOC則讓這項願景首次成為可能。」

建構可信任AI防線

AI在SOC架構中扮演的角色，已從加速流程與補足人力，進一步提升了「意圖辨識力」與「決策可稽核性」。Ledzian說明，Google所開發的Gemini模型可透過行為與語意分析，判斷釣魚網站或詐騙郵件背後的真實意圖，而非僅依賴URL、IP或關鍵字等表面特徵。即便攻擊者更換網址、調整外觀或進行內容隱匿，AI仍可憑藉網頁架構、品牌標誌、登入欄位等細節，辨識其仿冒行為，並主動提出警示。這類技術已應用於Google Web Risk解決方案，協助金融機構及高風險產業預先識別被仿冒的釣魚網頁，有效減少終端使用者受害風險。

另一項關鍵能力是「Grounding」，亦即將AI產出的調查結果錨定於具備驗證性與追溯性的資料來源，減少所謂「幻覺現象」（Hallucination）。Ledzian指出：「透過Grounding，AI調查報告將附帶完整分析流程與判斷依據，讓人類分析師得以針對其推論進行快速審閱與確認。」這種設計顯著提升調查可信度與回應效率，使AI輔助不再流於示意層面，而是具備落地實務價值。

他進一步分享了VirusTotal Code Insight的應用情境，說明AI如何補足企業在惡意程式分析方面的人力斷層。過去進行逆向工程分析需仰賴極高專業門檻與耗時投入，而今AI可自動解析未知樣本的行為意圖與可疑模式，並提供具專家水準的判斷說明，協助資源有限的企業快速掌握威脅全貌，加速防禦應變決策，成為SOC運作的智慧核心引擎。

徐海國補充指出，Google所提供的Gemini並非外掛整合的AI工具，而是「原生嵌入SecOps平台」的核心元件。相較於其他需透過第三方AI模型進行整合的解決方案，Google將AI與資安平台建立於同一技術堆疊之上，無需客戶額外撰寫程式碼，便可實現版本更新、合規性控管與流程一致性，大幅降低整合成本與技術落差。此外，在資料流治理層面也展現高度整合優勢，能有效存取來自Google Cloud、第三方雲端服務與地端系統的細粒度日誌，確保SIEM具備橫跨環境、橫跨層級的全域可視性。

對於多數台灣企業仍仰賴地端SIEM的現況，Steve Ledzian與徐海國皆強調，Google的雲原生SIEM解決方案能無縫串接地端與雲端資料，不僅整合調查流程、統一視覺呈現與事件關聯，還可逐步將維運負擔轉移至平台層，讓企業聚焦於策略制定與風險治理。