本文目录导读:

这是一个非常好的问题,简单直接的回答是:可以自动化,但完全、彻底的自动化(特别是高质量的分类分级)仍然面临挑战,目前业界主要在关键环节实现了高度自动化。
自动化程度可以分为以下几个层面:
已经实现高度自动化的环节
这些环节的技术成熟,是绝大多数安全运营中心(SOC)和SIEM(安全信息和事件管理)系统的基本功能。
- 事件收集与聚合:完全自动化,各种安全设备(防火墙、EDR、IDS/IPS)、服务器日志、云平台日志通过Syslog、API等方式自动汇聚到SIEM或SOAR(安全编排、自动化与响应)平台。
- 初步分类(基于规则与签名):高度自动化,系统根据预定义的规则(如“源IP命中威胁情报黑名单”、“告警类型为‘恶意软件’”)自动将事件打上标签,如“网络攻击”、“恶意软件”、“异常登录”。
- 一个检测到Cmd.exe连接外网的告警,会自动被分类为“潜在的横向移动”或“C2通信”。
- 基于规则的定级(严重程度/优先级):高度自动化,根据预定义的计算公式自动打分,公式通常包含:
- 资产重要性:服务器IP优先级 > 普通员工PC。
- 告警类型:RCE(远程代码执行)攻严重性 > 扫描探测。
- 置信度:EDR(端点检测与响应)杀软已确认 > 可疑行为。
- 触发数量:1个主机检出 vs 10个主机同时检出。
- 威胁情报关联:高度自动化,自动将告警中的IP、域名、Hash与线上威胁情报库对比,命中则自动提升严重等级。
需要半自动化或人工介入的环节
这是分类分级自动化的难点,也是安全分析师的核心价值所在。
- 复杂场景的分类(TTPs - 战术、技术和过程):
- 问题: 一个看似普通的DNS查询,可能是广告软件,也可能是APT(高级持续性威胁)的隐蔽C2通道,仅靠规则难以区分。
- 现状: 使用机器学习(ML)模型或用户和实体行为分析(UEBA)来建立基线,发现异常活动(如非工作时间大量数据外传),辅助分类为“数据泄露”或“内部威胁”,但这属于半自动化,需要分析师确认。
- 真相判定(True/False Positive - 真/假阳性判断):
- 问题: 一个“爆破登录”告警,是否是合法的管理员输错密码?自动化系统很难100%判断。
- 现状: SOAR平台可以自动100%判定IP黑白名单,或自动确认该IP是否在30天内首次登录失败,但对于更复杂的业务逻辑,仍需人工确认。
- 动态、业务相关的定级:
- 问题: “核心数据库”(资产价值10分)的一次“未授权访问”告警,根据规则是P1(严重),但如果这个“核心数据库”是已经下线、只留作备份的测试库,业务价值是0。
- 现状: 需要人工在CMDB(配置管理数据库)中维护资产权重,或者让系统通过业务系统API自动获取资产状态,但很难做到100%实时准确。
自动化技术的现状与趋势
目前业界主要使用以下几种技术来实现自动化:
| 技术 | 作用 | 成熟度 |
|---|---|---|
| 规则引擎 | 最基础、最广泛,如:“如果告警类型=‘恶意软件’ 且 资产类型=‘服务器’,则分类为‘恶意代码事件’,级别为高”。 | 非常成熟 |
| 机器学习(ML) | 主要用于异常检测(UEBA)、聚类分析(发现同类事件)、预测性定级(基于历史数据预测事件真实影响)。 | 中等成熟 |
| 自然语言处理(NLP) | 用于分析告警文本、工单、威胁情报报告,自动提取关键实体和意图,辅助分类。 | 发展中 |
| SOAR(安全编排、自动化与响应) | 将上述技术串联起来,形成自动化剧本,收到告警 -> 自动查威胁情报 -> 判断定级 -> 自动封禁IP -> 自动生成工单。 | 逐渐成熟 |
目前的真实现状
- 90%以上的初级分类和80%以上的定级(基于预设规则)是可以自动化的。
- 最关键的“真相判定”和“复杂TTPs分类”,自动化准确率可能只有60-80%,核心事件必须有人。
- 完全无人干预的“自动驾驶”式安全事件分类分级尚未实现,当前主流模式是 “自动化处理80%的常规、低风险事件,集中人力处理20%的重大、复杂事件”。
简单结论: 安全事件分类分级部分、高度自动化了,但完全、智能、无需人工复核的自动化还未到达,它的实现依赖于规则、威胁情报、ML模型和SOAR平台的组合,最终仍然需要“人+机器”的协同。