在生成式AI(GenAI)快速演進、威脅手法日新月異的情勢下,企業的資安維運中心(SOC)正面臨轉型關鍵點。傳統的資安事件控管平台(SIEM)搭配資安協調、自動化與回應(SOAR)與威脅情報,雖提供了基本的偵測與反應能力,但面對現代雲原生架構、多雲混合環境與人力短缺的挑戰,仍顯得力有未逮。
為此,Google Cloud Security提出「Agentic SOC」的新世代架構,強調透過代理型人工智慧(Agentic AI)驅動自主調查、回應與防禦,打造能跨雲整合、即時運作、具備判斷與學習能力的安全中樞,成為企業資安現代化的基礎。
Google Cloud Security北亞區總經理徐海國指出,傳統SIEM多半部署於地端,然而在雲端與地端資料日益分流的趨勢下,許多台灣企業被迫同時建置兩套SIEM系統,增加事件關聯分析與回應流程的複雜度,也抬高了維運成本。面對這樣的環境變化,企業亟需的並非僅是將既有SIEM上雲,而是重新建構一個能統一地端與雲端資料視野、具備協作彈性與自動化能力的資安平台。Google的雲原生SIEM解決方案正是以此為設計核心,協助客戶打造具備全局可視性、整合偵測與協作調查能力的統一資安營運平台(Unified SecOps Platform)。
AI驅動SOC作業邏輯革新
談及AI如何重塑SOC作業模式,Google Cloud Security與Mandiant亞太區及日本首席技術總監Steve Ledzian指出,雖然生成式AI已在近年快速成長,但真正讓SOC自動化作業邁向質變的技術躍進,來自「Agentic AI」的導入。與傳統語意生成AI不同,Agentic AI具備執行任務的能力與明確目標導向,能根據情境狀態進行判斷與決策,更可相互協作,串連整體資安事件處理流程,涵蓋告警分類(Triage)、事件調查(Investigation)、惡意程式分析(Malware Analysis)、乃至最終的事件回應(Incident Response),全面實現具備推理能力的自動化調查機制。
Google Cloud Security與Mandiant亞太區及日本首席技術總監Steve Ledzian(右)與北亞區總經理徐海國(左)指出,透過Agentic SOC,企業將能有效突破傳統資安作業瓶頸,實現具備即時性、彈性與決策力的現代化資安營運體系。
Steve Ledzian舉例說明,當系統偵測到異常並觸發告警後,Triage Agent會先針對告警進行分類與優先排序,判斷其可信度與風險等級,再交由Investigation Agent進一步展開調查。調查過程中,AI代理會應用Grounding技術詳實記錄其推論過程,並可連結至威脅情資資料庫或內部AI模型進行佐證,以提升調查的可追溯性與準確性。若案件涉及可疑執行檔,系統則會自動呼叫Malware Analysis Agent進行樣本行為拆解與意圖判斷,最後再將結果交由Response Agent執行封鎖動作、啟用票證或推動密碼重設等後續應變。整體流程均受到預設防線(Guardrail)控管,並隨實際執行經驗強化各自領域的專業能力。
Steve Ledzian直言,這樣由AI主導的作業流程正是傳統SOAR平台難以企及的終極目標。他強調:「SOAR設計初衷雖是實現資安自動化,但過去僅止於動作的自動化,例如封鎖IP、通報,並未觸及調查過程本身的自動化。Agentic SOC則讓這項願景首次成為可能。」
建構可信任AI防線
AI在SOC架構中扮演的角色,已從加速流程與補足人力,進一步提升了「意圖辨識力」與「決策可稽核性」。Ledzian說明,Google所開發的Gemini模型可透過行為與語意分析,判斷釣魚網站或詐騙郵件背後的真實意圖,而非僅依賴URL、IP或關鍵字等表面特徵。即便攻擊者更換網址、調整外觀或進行內容隱匿,AI仍可憑藉網頁架構、品牌標誌、登入欄位等細節,辨識其仿冒行為,並主動提出警示。這類技術已應用於Google Web Risk解決方案,協助金融機構及高風險產業預先識別被仿冒的釣魚網頁,有效減少終端使用者受害風險。
另一項關鍵能力是「Grounding」,亦即將AI產出的調查結果錨定於具備驗證性與追溯性的資料來源,減少所謂「幻覺現象」(Hallucination)。Ledzian指出:「透過Grounding,AI調查報告將附帶完整分析流程與判斷依據,讓人類分析師得以針對其推論進行快速審閱與確認。」這種設計顯著提升調查可信度與回應效率,使AI輔助不再流於示意層面,而是具備落地實務價值。
他進一步分享了VirusTotal Code Insight的應用情境,說明AI如何補足企業在惡意程式分析方面的人力斷層。過去進行逆向工程分析需仰賴極高專業門檻與耗時投入,而今AI可自動解析未知樣本的行為意圖與可疑模式,並提供具專家水準的判斷說明,協助資源有限的企業快速掌握威脅全貌,加速防禦應變決策,成為SOC運作的智慧核心引擎。
徐海國補充指出,Google所提供的Gemini並非外掛整合的AI工具,而是「原生嵌入SecOps平台」的核心元件。相較於其他需透過第三方AI模型進行整合的解決方案,Google將AI與資安平台建立於同一技術堆疊之上,無需客戶額外撰寫程式碼,便可實現版本更新、合規性控管與流程一致性,大幅降低整合成本與技術落差。此外,在資料流治理層面也展現高度整合優勢,能有效存取來自Google Cloud、第三方雲端服務與地端系統的細粒度日誌,確保SIEM具備橫跨環境、橫跨層級的全域可視性。
對於多數台灣企業仍仰賴地端SIEM的現況,Steve Ledzian與徐海國皆強調,Google的雲原生SIEM解決方案能無縫串接地端與雲端資料,不僅整合調查流程、統一視覺呈現與事件關聯,還可逐步將維運負擔轉移至平台層,讓企業聚焦於策略制定與風險治理。