今天的SOC面临着一个不可能的等式:噪音太多,缺口太多,手太少。检测覆盖范围的差距使公司暴露无遗,误报压倒了分析师,人工调查从最昂贵的资产(经验丰富的分析师)中消耗了宝贵的时间,响应缓慢或基于僵化的剧本,这些系统的成本以不可承受的方式扩大。
Exaforce是为了改变这一点而建立的。通过将专为安全操作而构建的独特多模型人工智能与代理自动化和高级数据探索功能相结合,Exaforce提供了一个代理人工智能SOC平台,该平台可以检测其他人错过的内容,过滤掉误报,自动化调查,协调响应,并在一个地方节省成本;可作为SaaS平台或完全托管的MDR服务。
用多模型人工智能重新定义SOC
Exaforce是第一个统一检测、分诊、调查和响应整个生命周期的人工智能SOC平台。其核心是一个多模型人工智能引擎,它结合了语义、行为和基于知识的模型,以丰富安全数据,识别真正的威胁,并更快地做出反应。Exaforce包括Exabots,专门的人工智能代理,作为全自动工具或副驾驶来解决SOC问题,拥有经验丰富的分析师的知识和经验。这些Exabots包括:
- Exabot检测:由AI/ML提供支持的云检测和响应,对IaaS和SaaS的高级威胁提供卓越的效果,与传统工具相比,误报和阴性更少。
- Exabot Triage:来自SIEM(Splunk、Sumo Logic)和云原生检测服务(AWS GuardDuty、Azure Identity Protection、CrowdStrike EDR、Google Workspace Phishing等)的警报的完全自主分类(带副驾驶和u-pilot模式)。
- Exabot调查:跨应用程序、基础设施、代码和文档的深度可见性,通过高级数据探索、预测分析和自然语言查询来加速调查。
- Exabot搜索:一种简单的自然语言搜索功能,可对所有连接的系统进行深入调查。
- Exabot Respond:自动化常规工作流程,如验证用户活动、重置MFA、终止会话和禁用帐户,同时在需要时纳入用户和经理的输入。
- Exabot Risk:随着客户部署和发展SaaS应用程序,不断识别、确定优先次序并指导运营风险的补救。
Exaforce无缝地使没有SOC的公司能够立即获得覆盖,同时帮助成熟的SOC扩大检测和改善运营。
现代云检测
大多数SOC工具都依赖于静态规则,很少覆盖现代SaaS和版本控制系统(VCS)平台,如Google Workspace、OpenAI和GitHub。Exaforce采取了不同的方法。它的多模型人工智能引擎将IaaS、SaaS、身份、端点和代码存储库的信号关联,以提供其他人根本无法提供的检测。
通过将对日志、行为基线以及有关用户和资产的上下文知识的语义理解分层,Exaforce表面化了高保真检测,在不产生额外噪音的情况下减少盲点。
跨系统的相关警报揭示了整个攻击链
自动分类
误报是SOC生产力的最大消耗。Exaforce的分类代理自动验证警报,用上下文丰富它们,并过滤掉噪音。这包括自动化上下文丰富、历史分析和基于自然语言的业务上下文。在许多环境中,这甚至在分析师看到队列之前,警报最多会减少70%。
这意味着分析师将时间花在真正的威胁上,而不是追逐毫无结果的警报。
警报富含上下文并自动归类为假阳性
调查和威胁狩猎:自动驾驶仪、副驾驶或U-pilot
在调查方面,Exaforce提供了灵活性。分析师可以使用Exaforce的自动调查来对每个警报进行,包括深度上下文、Exabot Search(一种自然语言搜索界面)来提问并在所有环境中即时查询,以大大简化威胁狩猎。
自然语言搜索新生风险会自动调查所有相关来源
为了进行更深入的分析,Exaforce提供了一个类似BI的数据探索接口,该接口将时间线、图形和实体之间的关系拼接在一起。
带有直观图形和过滤器的类似BI的数据探索
分析师可以将其用于后续调查或临时威胁狩猎——这些工具与我们的MDR专家在新研究后的几个小时内发现和报告新出现的威胁相同。MDR客户也可以直接访问此界面,确保调查方式完全透明。
自动化和人工循环响应
应对事件需要自动化或人工根据情况做出判断。Exaforce两者都能实现。自动游戏手册处理常规任务,如与用户及其经理一起验证行为,而分析师可以介入复杂的场景或风险响应,如禁用被盗帐户或阻止恶意IP。
通过Exabots处理繁重的工作,SOC团队可以准确、一致地扩大他们的响应,而不会耗尽员工。
人工批准的工作流程,用于撤销被泄露的用户访问权限
风险规则将威胁联系起来
并非每次配置错误都会导致主动攻击,但当它发生时,上下文很重要。Exaforce包括风险规则,可以持续监控云、SaaS和身份配置,并在配置错误相关时自动增加威胁发现。不安全的违约、过度允许的角色或政策差距与检测一起浮出水面,让分析师更清楚地了解威胁及其潜在影响。
这种增加的上下文有助于团队专注于最重要的事情,缩小传统监控留下的隐性差距。
跨受保护系统的风险规则
统一的SOC平台和MDR服务
使Exaforce与众不同的不仅仅是其功能的总和,而是它如何将它们结合在一起。云检测、自动分诊、调查副驾驶、自动响应和主动风险规则都位于一个统一的SOC平台中。
对于想要进一步扩大覆盖范围的组织,Exaforce提供MDR服务。这允许团队将监控、调查和响应卸载给由Exabots增强的专家,提供持续的24/7保护,了解您的业务,而无需专用SOC。
结果是,分析师花更少的时间追赶警报,更多的时间阻止威胁。组织减少了调查和遏制事件的平均时间,同时降低了SIEM和存储成本,并随着需求的变化灵活地添加MDR支持。
原文链接地址:https://www.helpnetsecurity.com/2025/09/18/product-showcase-exaforce-ai-soc-platform/
暂无评论内容