CrowdStrike 突破性创新：AI 助力 SOC 团队节省 40 小时工作量

随着安全运营中心 (SOC) 团队面临着不断增长的告警数量，CrowdStrike 推出了 Charlotte AI Detection Triage 系统。该系统能以超过 98% 的准确率自动评估告警，每周可减少超过 40 小时的人工分流工作，同时不会失去对告警的控制和精确性。

CrowdStrike 首席技术官 Elia Zaitsev 向 VentureBeat 表示："没有我们的 Falcon Complete 团队，我们不可能实现这一成果。他们在工作流程中进行分流，手动处理数百万条检测结果。正是这个高质量的人工标注数据集使我们达到了超过 98% 的准确率。"

他补充道："我们注意到攻击者越来越多地利用 AI 来加速攻击。通过 Charlotte AI，我们让防御者站在了同等地位——提升他们的效率，确保他们能够实时跟上攻击者的步伐。"

Charlotte AI Detection Triage 如何为 SOC 带来更大规模和速度

SOC 团队每天都在与时间赛跑，尤其是在控制入侵扩散时间方面。CrowdStrike 最新的全球威胁报告显示，攻击者在获得初始访问权限后，仅需 2 分 7 秒就能开始扩散。

Charlotte AI Detection Triage 的核心架构目标是自动化 SOC 分流并减少人工工作量，同时保持超过 98% 的威胁评估准确率。根据 Falcon Complete 环境中的实时数据，该系统每月处理数百万次分流决策。

该平台设计用于集成到现有安全工作流程中，并持续适应不断演变的威胁，使 SOC 团队能够更高效地运作并更快地响应关键事件。

主要特点包括：

自主分流和低风险告警关闭：过滤掉误报并关闭低风险告警，使分析师能够专注于真实威胁。这一过程减少了干扰，使 SOC 团队能够优先处理高影响事件，同时最大限度地减少告警疲劳。

Falcon Fusion 集成实现自动响应：整合 CrowdStrike 的安全编排、自动化和响应 (SOAR) 平台，以简化检测分流并自动化响应工作流程。这些基于置信度阈值，减少平均响应时间 (MTTR)，确保分析师只收到最相关、最可靠的检测结果。

从业界最大的 SOC 数据集持续学习：通过不断从 Falcon Complete 中数百万个专家标记的分流决策中学习，Charlotte AI Detection Triage 可以实时适应新兴的攻击技术。与依赖静态数据集的通用 AI 模型不同，它基于实际 SOC 数据不断提高精确度，即使在攻击者改变战术时也能保持准确性。

CrowdStrike 针对 SOC 挑战推出"部署机器人"多 AI 架构

SOC 面临的威胁性质变化速度超过了许多手动方法所能跟上的程度，有时会使自动化系统不堪重负。高告警量和资源限制的日益增长的挑战正成为部署多个专业 AI 代理的有力用例。

CrowdStrike 将其多 AI 架构称为"部署机器人"方法，每个专业代理或"机器人"都经过特定任务的训练。Charlotte AI 不是依赖单一 AI 模型，而是协调多个专业 AI 代理，每个代理都经过特定任务的训练。这些 AI 代理协同工作，分析、解释和响应安全事件，提高准确性并减轻分析师的负担。

agentic AI 是 SOC 安全的新 DNA

CrowdStrike 最近的 AI 在网络安全中的现状调查基于对 1,000 多名网络安全专业人士的采访，突出了 SOC 中 AI 采用的关键驱动因素。

主要见解包括：

平台优先的 AI 采用：80% 的受访者更倾向于将生成式 AI 集成到网络安全平台中，而不是作为独立工具。

专为安全设计的 AI：76% 的人认为生成式 AI 必须专门为网络安全设计，需要深厚的安全专业知识。

数据泄露忧虑推动 AI 需求：74% 的受访者在过去 12 到 18 个月内遭受过数据泄露或担心漏洞，强化了对 AI 驱动的安全自动化的紧迫性。

重视投资回报而非成本：CISO 优先考虑能够明显改善检测和响应速度的 AI 解决方案，而不是仅关注价格。

安全和治理很重要：AI 采用取决于明确的安全、隐私和治理结构。

通过"有界自主"确保 AI 安全：CrowdStrike 如何指导负责任地采用 Charlotte

CrowdStrike 的调查显示，87% 的安全领导者已经实施或正在制定新政策来管理 AI 采用，这是由数据泄露、对抗性攻击和产生误导性见解的"幻觉"等问题驱动的。

这些挑战对于 Charlotte AI Detection Triage 特别重要，因为它利用大规模 AI 来自动化 SOC 工作流程。

CrowdStrike 通过 Zaitsev 称之为"有界自主"的概念来缓解这些风险——让客户控制 AI 在分流和响应中的权限范围。

通过持续从 Falcon Complete 中的实际 SOC 数据中学习，Charlotte AI Detection Triage 能够适应不断演变的威胁，同时减少告警疲劳。通过"有界自主"，安全团队既能利用 AI 驱动的分流带来的速度和效率，又能保持负责任的实际应用所需的安全guardrails。