智能体 SOC：公共部门的新型 AI 网络安全防御

智能体 SOC 正在改变安全运营与安全分析师的工作方式。一系列智能体工作流和技能可帮助分析师在幕后自动执行各类操作。

全面实现 SOC 自动化并非目标：您并不希望把人类排除在外，确保他们不会因 AI 生成攻击的速度而不堪重负。人工的参与仍然至关重要，透明性也同样不可或缺。

Elastic 在设计其代理式安全运营平台时采用了“以人为主导”的方法：自治代理负责从数据摄取到响应处置的整个安全威胁生命周期，而分析师则负责判断、验证和审批。AI 所做出的每一项决策都会被完整记录，以便人工审核人员评估其准确性。

接下来，让我们把注意力转向智能体 SOC 在帮助安全团队应对两个关键痛点方面所发挥的作用：1) 碎片化问题，2) 响应速度慢的问题。

公共部门的运营本质上是分散式的。多样化的系统与运营流程用于支持各类任务需求、监管要求以及不同的安全分级。许多机构与部门被要求在高度复杂的环境中运行，这些环境往往是相互隔离甚至物理断网的。历史上，信息孤岛一直被视为额外的一层保护机制。

然而，这种碎片化在应对快速演进的 AI 驱动型威胁时可能成为障碍。安全行业研究显示，66% 的 SOC 每周都会损失整整一天的时间，用于在分散的工具之间手动汇总数据。²

碎片化并不仅仅是公共部门 SOC 面临的挑战，它与整个安全行业本身的结构有关。该行业的商业模式本身就是“按模块出售能力”。您购买的是碎片化架构，随之而来的是由此带来的各种风险：

• 按设备收费迫使团队围绕预算做出覆盖范围决策，而这类决策本不应由预算决定

• 在事件发生期间，外挂式自动化系统会中断

• 专有 AI 隐藏了其逻辑

在开始应对当前的实际威胁之前，团队被迫先在层层系统之间来回切换。这不仅效率低下，而且成本高昂，同时也构成一种风险隐患。与此同时，攻击者正在利用每一个漏洞。

Elastic 消除了碎片化问题。保护整个生态系统所需的一切能力，包括 SIEM、XDR 以及原生自动化，都整合在我们的智能体 SOC 平台之上。我们消除了“端点税”，使您能够围绕自身风险而非许可证数量来构建安全策略。我们的开源平台可与现有生态系统集成，并提供跨所有环境的数据可见性，即使是在彼此隔离的模型中也同样适用。

安全团队正面临“告警疲劳”。当前攻击速度使得团队难以及时对告警进行优先级排序并采取行动。今年早些时候，从初始入侵到横向移动之间的平均时间已缩短至 29 分钟，且响应时间仍在持续压缩。³

更严重的是，在碎片化环境中对数据进行上下文关联本身就需要大量精力。如果缺乏上下文支撑的 AI 威胁检测，反而会让团队被大量误报所淹没。随着噪音不断增加，而公共部门团队可用资源却十分有限，压力正在持续上升。倦怠已经成为现实问题，而当安全团队感到疲惫或挫败时，防御能力会随之下降，从而增加发生安全漏洞的风险。

Elastic 加快调查与响应速度。我们的智能体 SOC 平台通过数据网格架构，将云端、混合环境及本地部署环境中的数据统一起来（包括完全隔离的区域），在不将数据集中迁移的情况下提供实时的全局可见性。每一条安全告警都会附带自动生成的叙事分析，将终端行为与身份变化、网络流量以及云日志进行关联。通过在规模化层面提供上下文信息，Elastic 使团队能够在不增加额外资源的情况下，以机器级速度做出决策。

显然，政府机构无法再用旧有方式应对新型网络威胁。在全球范围内，各国正在采取措施强化国家级网络韧性框架与相关指令，并大力转向 AI 驱动的网络安全。

在美国，这一趋势仍在持续加速。2026 年 6 月发布的一项白宫关于推动人工智能发展的行政命令要求同时强化 AI 创新与 AI 安全。政府必须在现代化技术基础设施的同时，应对日益强大的 AI 系统所带来的新兴风险。公共部门组织正面临挑战，需要以负责任的方式采用 AI，同时确保安全性、透明性与运营韧性不受影响。

随着各机构开始将关键安全决策交由 AI 智能体处理，透明度与监督成为重点关注事项。来自美国、英国、加拿大、澳大利亚和新西兰关于智能体 AI 网络安全的联合指南强调了运营可见性的重要性。人类必须能够理解智能体在做什么、为什么这样做，以及其用户意图。⁴

与此同时，随着各机构开始在不同地区与项目中大规模部署 Elastic Security，组织也迅速认识到 Elastic agentic SOC 所带来的整体价值。

Elastic 与 Google Distributed Cloud (GDC) 在隔离环境中的集成是其一系列旨在保护高度敏感工作负载的重要里程碑。通过将 Elastic 作为嵌入式安全层部署在 GDC 的隔离环境中，即使是在完全与公共互联网隔离的环境下运行的 GDC 客户，也能够获得智能体 SOC 平台所提供的安全防护。在美国，Elastic 作为 AI 驱动的安全平台，为联邦文职行政机构的 SIEM-as-a-Service (SIEMaaS) 服务提供支持，该服务由美国网络安全与基础设施安全局 (CISA) 近期推出。

Elastic 是一款以“安全优先，而非增加负担”为理念构建的智能体安全运营平台。它能够缓解安全团队在时间、预算和注意力方面的压力。请思考 Elastic 对您的网络安全防御策略能够带来的影响：

• 在保持安全性的同时提升可见性：开放且灵活的架构能够连接任何环境中的信息，使您可以在数据生成的源头即时识别关键数据，同时支持遵守严格的本地隐私法规。

• 抢先应对快速变化的风险：让分析师能够在威胁抵达之前就将其阻断。网络安全 AI 智能体嵌入在工作流中，将从检测到修复的时间压缩至数秒。团队能够获得实时上下文，从而加速决策。

• 建立对 AI 的信任：对每一项 AI 行动提供透明度，使分析师能够理解输入，并追踪输出结果的逻辑。

• 更有效地聚焦有限资源：AI 驱动的技术减少了安全团队在手动关联安全数据以及筛选非紧急告警方面所花费的时间，从而释放更多精力用于提升战略能力，并优化 AI 行为的调整与改进。

• 实现更优成果：Elastic Security 能够在整个数据生态系统中检测并处置网络威胁，从而实现安全事件与事故减少 90%。我们的“预防优先”方法并非空泛宣称，而是经过独立验证的。2025 年，Elastic 在 AV-Comparatives 的真实环境与恶意软件测试中，成为唯一在全年保持 100% 防护率的厂商。