文章总结： 本文通过财富500强食品制造公司和金融机构的SOC人工智能试点案例，揭示AI在安全运营中的实际效果。食品公司通过AI作为只读分流助手使平均发现时间提升26-36%，响应时间提升22%，但增加了误报警报；金融机构发现AI擅长总结信息、减少文档工作，但直接控制会导致错误操作。核心结论是AI应作为人类分析的辅助工具，业务需求驱动安全部署，且需严格限制AI对关键系统的控制权限。 综合评分： 74 文章分类： 安全运营,AI安全,解决方案,实战经验,安全建设

人工智能在SOC中应用的两个真实案例

数世咨询

2026年4月13日 18:08 河北

在小说阅读器读本章

去阅读

点亮上方「★星标 」更多干货内容，不再错过！

本文关键看点：

#01

AI驱动的SOC工具能够评估来自多个来源的数据，并基于创建的规则进行分析的同时，也为团队引入了更多的误报警报管理。

#02

大模型在总结重要信息、关联上下文以及从各种安全工具输入中生成结构化叙事方面尤其强大，大量减少上下文切换和重复文档的工作。

#03

业务驱动安全，安全不驱动业务。

▍以下正文内容基于英文原文编译，可能存在语义偏差，请以原文为准。

✦

以下为正文

✦

外部、内部和运营压力迫使企业部署人工智能，以释放其提高速度和效率的潜力，这让企业网络安全专业人士面临艰难的境地——他们需要推动创新，同时又要预见可能带来的风险。

两位企业网络安全领导者决定迎接人工智能挑战，并在今年的 RSAC 2026 大会上分享他们的发现，阐明人工智能能够胜任的工作以及尚未准备好的任务。

这两位领导者所处的企业环境在网络安全攻击方面都面临巨大风险。一位网络安全领导者 Ankit Gupta 负责一家财富 500 强食品制造公司，另一位 Shilpi Mittal 则负责保护一家金融公司。他们决定进行为期六个月的试点，以了解人工智能如何在他们的安全运营中心（SOC）中发挥作用。

Gupta 和 Mittal 在今年的 RSAC 2026 大会上分享了他们的发现，会议主题为“我们在 SOC 中引入了人工智能——这里是有效和无效的地方”

01

财富 500 强食品制造公司的 SOC 中的人工智能

Mittal 报告称，她在食品制造公司的 SOC 案例工作流程中成功使用了大型语言模型（LLM），作为“只读的分流助手”。她在接受 Dark Reading 采访时解释道，通常情况下，Mittal 发现这款人工智能驱动的 SOC 工具能够评估来自多个来源的数据，并根据创建的规则进行分析。

在 SOC 人工智能试点期间，Mittal 的团队在关键指标上测量到了改善：“发现平均时间（MTD）提高了 26% 到 36%，响应时间（MTTR）提高了 22%，假阳性减少了 16 个百分点，”Mittal 说，并补充道安全团队“保持了严格的控制措施，包括强制引用、人为批准门、工具允许列表和完整的审计日志”。

在一个实例中，“人工智能在一个端点检测到一个可疑的 .git 文件，”Mittal 解释道。“人工智能判断该文件可能包含恶意软件，并自动将其隔离，同时关闭了该端点上的软件，展示了主动的威胁预防。”

然而，除了各项指标的提升外，人工智能也引入了额外的假阳性警报，供团队管理。展望未来，Mittal 补充道，在她的制造组织庞大的运营技术（OT）和遗留系统上层叠加额外的人工智能工具将面临一系列挑战。

Mittal 发现，在制造业的 SOC 中引入人工智能需要不同的思维方式；在她的组织中，操作停机直接影响收入、生产线和工人安全。

“这一现实塑造了每一个架构和治理决策，”她指出。例如，在她的试点期间，人工智能被故意不作为工业系统的控制机制。

“相反，我们严格将其嵌入安全案例管理工作流程中，作为一个只读的分流助手，综合来自端点检测与响应（EDR）、网络遥测、云系统、应用程序和 OT 监控数据流的警报，”她说。“人工智能从未被允许直接与可编程逻辑控制器（PLC）、SCADA 系统或任何生产设备进行交互。”

02

金融机构的 SOC 中的人工智能

金融机构面临一系列不同的挑战，使得在 SOC 中部署人工智能变得复杂。Ankit Gupta 的组织处理大量结构化和非结构化数据，这些数据“受到严格监管，经济敏感，并直接与消费者信任相关。他们不断受到监管机构的监控，包括来自加利福尼亚州和德克萨斯州等州的监管，”他表示。

Gupta 的六个月试点发现，人工智能在加速任务方面非常有用，例如欺诈检测、自动化承保、算法交易、客户服务自动化和风险建模。

他还发现，人工智能能够改善现有的操作手册，Gupta 认为这些手册“决定性且僵化，仅在模式可预测时效果良好”。

然而，在 SOC 中实施人工智能的案例并不那么引人注目。Gupta 分享道，他的组织在一个非生产系统上进行了为期两周的测试，人工智能被赋予了完全控制权。结果并不理想。

“SOC 的现实是混乱的——警报带有不完整的字段、不一致的标识符和模糊的信号，”Gupta 解释道，并补充道：“人工智能错误地将用户从系统中移除。”

所有这些让他得出结论，人工智能可以在 SOC 中提供帮助，但最终的行动决策始终应由人类做出。与其取代安全分析师或完全控制警报管理，不如通过连接点来帮助：“LLM 在总结重要信息、关联上下文和从各种安全工具的输入生成结构化叙述方面特别强大，”他说。

积极的一面是，Gupta 在他的金融组织的试点期间确实看到了分析师疲劳的显著减少。

“最大的变化是减少了上下文切换和重复文档的工作，”Gupta 说。“分析师每周花费 10-15 小时创建文档和收集业务信息——这项工作已经转移给人工智能，效果非常好。”

考虑到几乎所有行业的领导者都面临推出人工智能工具的压力，这些试点运行显得尤为及时。

“董事会和高管们不断听到关于人工智能驱动效率的信息，不仅仅是在安全领域，还有像 Copilot 和 ChatGPT 这样的生产力工具，”Gupta 说。“在金融领域，由于该行业数据丰富、创新敏感且监管严格，压力更为加剧。”

Mittal 和 Gupta 建议，网络安全团队必须在整个组织中保持参与，避免成为创新的障碍。

“业务驱动安全，”Mittal 补充道。“安全并不驱动业务。

* 本文为泽钧编译，原文地址：https://www.darkreading.com/cybersecurity-operations/ai-soc-go-wrong 注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

更多推荐

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数世咨询 《人工智能在SOC中应用的两个真实案例》