前言

ChatGPT全球热浪来袭，无数行业、场景和产品都将面临自我革新，我们已经进入了“人与机器全面协同作战的智能时代”。

自2019年创业以来，雾帜智能始终坚持将人工智能技术精准落地到现实应用场景中；并在网络安全领域，首次运用AI+SOAR技术帮助安全团队打造了面向未来的革命化的安全运营神器——HoneyGuide智能风险决策系统。过去4年，雾帜智能在AI+SOAR领域完成了大量技术突破和积累，与客户一起在安全运营自动化和智能化领域实现了各类场景的实战落地。

ps:我们今天讨论的是如何用AI实质性地增强SOAR产品自身的能力，而不是单纯如何用AI丰富SOAR的应用场景。

我们将讨论：

●如何通过AI技术改善SOAR产品使用交互体验

●如何通过AI实现智能推荐安全剧本或安全动作

●如何通过AI技术实现智能编排，类似ChatGPT，“你描述安全事件，AI编写剧本”

●如何通过AI能力，增强操作辅助，全场景、全平台增强安全人员与SOAR产品的互动

 

人与机器全面协同作战的智能时代，我们必须充分发挥人类工程师的智慧和机器的速度与智能，人机协同，争分夺秒加速安全运营。

一、背景介绍

随着全球数字化进程的加速，信息安全越来越受到重视，企业和组织亟需寻求更有效的方法来应对不断变化的安全威胁。在这种背景下，安全编排自动化技术（SOAR，Security Orchestration, Automation, and Response）应运而生，它通过整合安全工具、自动化流程以及优化响应来提高安全团队的效率。近年来，人工智能（AI）技术的迅猛发展为SOAR赋能，进一步提升了安全运营的水平。越来越多的客户已经看到这样的趋势，单纯依靠SOAR产品或技术实现的安全运营，还不足以全面革新当前的网络安全运营现状，必须为SOAR产品插上AI的翅膀。

过去的几年里，一部分有着敏锐技术嗅觉的先行者们已经开始使用编排和自动化技术增强网络安全运营，并取得了非常不错的成绩。我们同样看到跟随者们也在快速涌入，无论是SOAR产品的使用方还是制造商。

自2019年起，雾帜智能在市场中与众多客户展开深入合作，并获得了大量宝贵反馈，这对国产SOAR产品的优化和升级具有重要的推动作用。SOAR技术在中国市场迅速崛起并迅速受到欢迎，这归功于它为我们带来的巨大价值：

• 全面连接和调度网内安全产品、网络设备、SaaS服务和IT应用
• 分钟级甚至秒级的事件响应
• 几十倍上百倍的效率提升
• 可视化低代码实现的安全编排
• 图形化沉淀知识，数字化传承经验
• 极速降本增效，全面提升安全运营水平

SOAR在中国市场的快速发展和带来的可观的应用价值的同时，我们也应看到当前SOAR在发展过程中还有很多可以改进的地方：

1. 安全剧本需要预定义
2. 安全剧本编写需要专业经验
3. 安全响应过程离不开人机交互
4. 必须以传统的软件功能菜单与SOAR交互，灵活性不够

换句话说，SOAR产品在安全事件响应中的应用越来越广泛，但在实际使用中，还需要考虑如百尺竿头更进一步，进一步提高效率、降低成本，以及提高SOAR的智能化水平。AI技术的应用，特别是自然语言处理、机器学习、深度学习等技术，为SOAR产品的智能化提供了有效的解决方案。

二、人机交互

SOAR产品必须提供良好的人机交互能力，在任何时刻都能最大限度降低安全人员的沟通、操作、协同和等待。雾帜智能HoneyGuide-SOAR产品，在安全事件响应过程中，允许工程师像和同事交流一样与机器人进行互动，包括文字指令、图片和语音交互。

雾宝宝NLP文本指令机器人

告诉机器人你要做什么，机器人推荐或者执行可用的安全动作，例如：“立即封禁这个IP：1.2.3.4，WAF拦截example.com站点的所有POST请求，一键隔离主机：192.168.0.1”

工程师可以@机器人下发安全指令，由机器人根据自然语言语义识别，推荐或执行安全动作。HoneyGuide-SOAR已经完成了400多款主流安全、网络、IT和SaaS系统的1500+动作的能力对接，并支持工程师通过自然语言文本与机器人进行交互，大幅降低安全事件过程中的人员协同、沟通、操作的时间成本。

网络安全协同作战语音机器人

无需登录产品界面，直接告诉机器人你要做什么——安全剧本语音执行！

相对于文本机器人来说，语音机器人的优势更加明显，无需通过浏览器、手机APP进行应急响应操作，直接与机器人对话，像和办公室同事交流一样开展安全运营。SOAR运行效率、应急响应的操作体验都能得到大幅提升。

三、智能推荐

雾小智知识问答机器人

下次别问同事了，直接问机器人雾小智：）

安全团队能能够持续成长的一个重要条件是在运营过程中，持续完成安全事件总结，实现知识沉淀和经验积累。现实情况是很多安全团队的知识经验都是躺在Word文档或者WIKI链接中，是冷知识，几乎很少能及时发挥作用。

雾帜智能提供的雾小智知识问答机器人，通过知识问答的方式，将团队沉淀的历史经验、WIKI、文章等静态知识库激活，全面增强安全人员应对突发情况的能力。当经验不够丰富的一线工程师向机器人提问“XXX暴力破解事件如何处置？”、“官网被DDoS攻击该如何响应？”时，机器人可以根据自然语言的语义、安全事件上下文和特征自负，从知识库检索最匹配的文章。

 

知识问答机器人帮助安全团队激活历史知识库，形成知识积累和沉淀的正循环。用得越多，总结得越多，推荐得越准，体验就越好。

智能推荐剧本编排节点动作

剧本工程师在编写playbook过程中，思路往往有局限性，因为每个人的身份、技能和经验都不同。通过AI推荐功能，可以给剧本工程师提供更好的参考建议，例如：

●封禁IP动作前，建议查询一下IP的归属地和情报；

●封禁IP后，可能会推荐做一次消息通知或邮件通知；

●查完了国内威胁情报，推荐查询国外的威胁情报；

 ✦智能推荐剧本编排节点动作

雾帜智能HoneyGuide SOAR支持在用户编排过程中，在任意编排节点上选择“AI推荐”，由AI引擎根据历史聊天记录（也叫作战之记录）、事件报告、剧本库和节点上下文，智能推荐可用的安全节点——迅速提升剧本编排的质量和速度。

四、智能编排

AI智能推荐应急响应动作

从来没处置过的安全事件发生了？别慌，AI给你推荐动作。

SOAR产品落地过程中，除了厂商提供的通用安全剧本模板外，通常还需要根据客户实际场景编排适合企业自身需求的安全剧本。但无论哪种，对现有专家团队的综合知识输出都有一定的依赖。

雾帜智能HoeyGuide SOAR剧本仓库提供数百个通用的安全事件响应剧本模板，可以帮助客户解决SOAR落地第一阶段的问题。但任何经验或仓库都有其局限性，尤其是应对不在知识库中的新型安全事件，一线工程师如何快速，因此SOAR产品应该剧本智能推荐功能，例如：根据安全事件的上下文推荐可用的安全剧本或动作组合。

 ✦安全动作推荐

AI智能编排应急响应剧本

你描述一下当前的安全事件概要，AI为你生成安全事件处置剧本，是的，可以。

除了上述基于安全事件上下文的动作推荐，HoneyGuide-SOAR内置智能策略专家，用户输入当前安全事件的概要信息，系统将会自动推荐可用的安全剧本，或生成剧本模板。

✦安全剧本推荐

 

HoneyGuide-SOAR之所以能够根据用户描述推荐或生成剧本，很大一方面得益于过去几年雾帜智能始终坚持AI+SOAR的技术发展路线，沉淀了数百个通用网络安全事件处置场景的剧本模板集——剧本仓库。在剧本仓库的基础上，AI系统结合客户作战室聊天记录、作战记录和事件上下文，就可以为客户在陌生事件发生的场景中精准地推荐或生成准确度较高的安全剧本。

五、智能辅助

除了上述介绍的AI直接增强SOAR产品功能外，雾帜智能还在多个安全运营实战过程中帮助客户改善人机交互，促进安全响应。

作战室OCR识别加速文本提取

再也不用手敲图片中的字符了，智能识别，直接提取。

针对工程师在作战室发出的图片，可执行智能识别，提取图片中的文本信息，减少人员打字输入，大幅提升效率。雾帜智能在2020年初已经完成该功能，比钉钉、微信上的图片文字识别上线还要早。

✦OCR图片识别

 

智能正则表达式生成工具

你还在徒手写正则表达式？试试雾帜AI正则表达式生成工具吧：）

绝大多数客户在建设SIEM/SOC平台时都面临一个巨大的挑战：如何对纷繁复在的交换机、路由器、防火墙、操作系统、HIDS的安全事件日志进行格式化、类别化。此类工作中最繁杂且需要脑力投入的环节是编写正则表达式，从文本中提起关键信息，例如：

●%{IP:dst_ip}:Failed password for user %{USERNAME:dst_user} from %{IP:src_ip} port %{NUMBER:src_port} ssh2

●(?<=//)[\d\.]+(?=//.*?//[\d\.]+)

雾帜智能HoneyGuide-SOAR，在安全事件接入环节，支持通过AI算法学习某类安全事件日志样本，智能生成正则表达式。该功能大幅减轻了一线工作人员“人肉写正则”的痛苦，安全日志接入的效率可以提升几十倍。

不仅如此，机器学习结果支持根据日志样本的增加，持续优化和改进正则表达式。

基于日志语义的安全事件智能去重

安全事件，即使没有格式化，也能被识别和去重，神奇。

无论是SOAR还是SIEM，都会接收自身上游安全产品发过来的安全告警或者日志。上游安全事件系统输出的各类告警往往有较大的误报问题，并且同一类问题可能会多次发送，导致重复告警，创建重复工单，安全工程师苦不堪言。

主流的做法是对事件日志先做格式化，提取字段后，再进行指定字段组合条件在特定时间窗口的阈值统计，然后去重，这种方式依赖特别多，且无法应对无法正确格式化的未知事件类型。

雾帜智能提供基于安全事件日志纯文本机器学习智能去重的能力，能够在不经过字段格式化的前提下直接进行相似度匹配；经过机器学习算法被判定为同一个安全事件的所有日志会被归并为一条事件，进行统一处置。

六、总结

SOAR作为一种新型安全理念/产品，致力于帮助企业快速响应和处置安全事件，减少人工干预，提高安全响应效率。雾帜智能作为国内SOAR产品的引领者，将AI技术应用于SOAR产品中，以提高产品的智能化和自动化程度，为客户提供更加智能的安全运营解决方案：

●在人机交互方面，雾帜智能HoneyGuide-SOAR提供了文本指令机器人和语音交互机器人，可以帮助安全工程师更加快速、便捷地与机器人进行互动，降低人员协同、沟通、操作的时间成本。

●在智能推荐方面，雾帜智能HoneyGuide-SOAR提供了知识问答机器人和剧本编排节点动作智能推荐，帮助安全工程师快速推荐可用的安全动作，以及根据安全事件上下文自动生成安全剧本，提高安全响应效率和准确度。

●在智能编排方面，雾帜智能HoneyGuide-SOAR提供了AI智能推荐应急响应动作和智能编排应急响应剧本，帮助安全工程师根据安全事件的上下文推荐或生成准确度较高的安全动作或剧本，提高安全响应效率和准确度。

●在智能辅助方面，雾帜智能HoneyGuide-SOAR提供了作战室OCR识别加速文本提取、智能正则表达式生成工具和基于日志语义的安全事件智能去重等功能，帮助安全工程师更加便捷地处理安全事件，提高安全运营效率。

需要特别强调的是，以上所有涉及到的AI能力增强的算法均由雾帜智能K2 Lab独立实现，支持客户本地化部署，使用过程无需连接互联网，切实保护客户隐私和数据安全。

综上所述，雾帜智能的SOAR产品HoneyGuide通过将AI技术应用于产品中，提高了产品的智能化和自动化程度，帮助企业更加便捷、高效地响应和处置安全事件。雾帜智能作为国内领先的安全自动化运营产品供应商，已经实现了多项AI技术在SOAR产品中的落地应用，包括语音交互、文本指令、知识问答、智能推荐和智能辅助等方面。这些技术的应用不仅提高了SOAR产品的响应速度和效率，更进一步降低了安全事件的操作难度和协同成本，同时也能够不断优化和提升SOAR产品的智能化水平。

提升SOAR产品的智能化水平是必然趋势，而精准落地的AI技术是SOAR产品实现智能化的重要手段。我们相信，在雾帜智能创业团队的不懈努力下，AI技术的持续应用一定会进一步推动国产SOAR产品的升级和发展，为企业安全运营提供更加智能化的技术保障。