思科Splunk大会：智能体驱动的SOC安全运营愿景正式发布

在Splunk年度.Conf大会上，这家由思科支持的可观测性和数据安全厂商首次推出了基于智能体增强的人工智能安全运营中心(SOC)，发布了两款智能体驱动的安全运营工具供用户探索。

在周二的主题演讲中，Splunk安全业务高级副总裁兼总经理Mike Horn表示，安全运营必须不断发展，业界迫切需要简化工作流程、加速和增强SOC操作，并扩展检测能力和威胁可见性。

Splunk企业安全基础版和Splunk企业安全高级版——作为该公司企业安全(SEC)安全信息和事件管理(SIEM)解决方案8.2版本的一部分——在威胁检测、调查和响应(TDIR)领域统一了多个安全工作流程。

基础版将SEC 8.2与Splunk AI安全助手统一集成，目前已可使用，而高级版更进一步，增加了Splunk SOAR和Splunk UEBA功能，将于9月下旬进入受控可用性阶段。

自2024年合并以来，Splunk和思科在技术集成方面取得了重大且快速的进展。两家公司声称，新功能将把智能体AI置于SOC的核心位置，在整个网络中扩展安全智能。

"我们的安全产品将检测、调查和响应统一到一个直观的工作空间中，消除了工具碎片化问题，显著提升了效率，"Horn说道。

"内置AI可以帮助减少告警噪音，将调查时间从几小时缩短到几分钟。现在每个SOC都能更好地应对高级威胁，为各级分析师赋能，"他补充道。

IDC安全与信任研究总监Michelle Abraham表示："面对当今日益复杂的威胁和不断扩大的攻击面，安全团队不能浪费时间在碎片化工具之间切换，也不能在孤立的可见性下运营。"

"通过将多种安全能力集成到单一、统一的环境中，安全平台帮助组织从被动安全转向主动安全，简化工作流程，改善检测和响应，最终降低风险。"

此外，母公司思科计划发布多项额外的AI功能来驱动智能体SOC，旨在让网络安全专业人员专注于更战略性的工作，而智能体机器人则筛选原始安全数据并执行主动、自主的安全运营。

正在开发的一些智能体功能包括：评估、优先级排序和解释安全告警的分类处理；解释恶意脚本的恶意软件逆向分析；将自然语言意图转换为功能性SOAR剧本的剧本创建；使用多模态大语言模型将标准操作程序导入安全响应计划的响应导入器；帮助将检测从假设转化为生产的检测库；以及个性化检测SPL生成，在库内个性化检测以适应客户SOC环境。

此外，Splunk扩展了思科Isovalent运行时安全(eBPF)与Splunk的集成，增强了工作负载可见性并更好地定位问题。同时宣布Splunk云平台的Amazon S3联邦搜索和安全分析与日志记录(SAL)功能，将允许网络安全专业人员直接对存储在SAL中的思科防火墙日志运行安全分析，无需数据摄取。

这些功能和能力将在未来12个月内陆续上线。

在.Conf大会上接受Computer Weekly采访时，Splunk集团副总裁兼EMEA首席战略顾问James Hodge表示，智能体SOC的出现预示着网络安全专业人员进入了一个简化时代，他将底层技术描述为在许多方面"极其复杂"。

"从用户角度来看，我们正在简化所有这些复杂性。我们正在抽象这种复杂性，只展现你需要的内容，"Hodge说道。

"对于使用它的任何人来说，我会用'解放'这个词来形容，因为你不再需要与工具或技术作斗争——你能够得到问题的答案，从而取得进展。对于人们来说，这意味着他们可以专注于做他们应该做的工作。"

Q&A

Q1：Splunk企业安全基础版和高级版有什么区别？

A：基础版将SEC 8.2与Splunk AI安全助手统一集成，目前已可使用。高级版在此基础上增加了Splunk SOAR和Splunk UEBA功能，将于9月下旬进入受控可用性阶段，功能更全面。

Q2：智能体SOC能为安全运营带来什么改变？

A：智能体SOC将AI置于安全运营中心的核心位置，能够减少告警噪音，将调查时间从几小时缩短到几分钟，让安全专业人员专注于更战略性的工作，而智能体机器人则负责筛选数据和执行自主安全运营。

Q3：思科和Splunk合并后在技术集成方面有哪些进展？

A：自2024年合并以来，两家公司在技术集成方面取得了重大且快速的进展，扩展了思科Isovalent运行时安全与Splunk的集成，并推出了联邦搜索等功能，这些新功能将在未来12个月内陆续上线。