|
Overviews
|
雲端資安維運實戰案例
Agentic AI——安答如何改寫資安應變的時間規則
事件情境:一場正在發生的權限擴張
在一企業客戶的資安監控系統中,短短 9 分鐘內接連觸發了多筆 Microsoft Entra ID PIM(特權身分管理)異常變更。這種異常的高密度行為,在資安情境下高度符合攻擊者正在進行「權限擴張(Privilege Escalation)」的特徵——藉由竄改特權角色指派,為後續的橫向移動或資料滲出鋪路。
| *Microsoft Entra ID PIM 是 Azure Active Directory 的特權存取管理功能,負責管控高敏感角色的啟用與指派。 一旦遭到非授權操作,攻擊者即可在組織內部取得近乎無限制的橫向移動能力。 |
事件處理
- 傳統作業模式:可能致命的時差
面對這類事件,傳統的資安應變流程總是面臨嚴峻的時間壓力。資安人員需逐筆調閱 Audit Log 拼湊事件關聯;同步比對外部攻擊手法資料庫,判斷行為動機;完成分析後再提出處置建議,整個流程往往耗費 4 小時以上。 然而威脅不會等人。在分析結果產出之前,攻擊者可能早已利用竊取的特權帳號向外擴散,波及其他系統與資料。每一分鐘的延遲,都可能擴大攻擊者的戰果。 - 導入安答 (Anda) 差異:從觸發到阻斷的急速應變
導入安答(Anda)Agentic AI 解決方案後,同樣的事件應變上產生的極大的效率差異:
在這場事件中,安答展現出三個讓應變效率大幅提升的關鍵能力:
① 自動化分析及行為標註
安答在事件觸發的第一時間即完成初步的自動化分析,將觀察到的行為序列,對應 MITRE ATT&CK 框架中的具體戰術與技術,讓資安團隊無需從零開始解讀,直接取得結構化的攻擊情境描述。
② 情資驅動的動機研判
透過與 MISP(Malware Information Sharing Platform 惡意軟體情報共享平台)的即時串接,安答能比對國際情資,針對國際上已知的攻擊指標(IoC)識別,協助判別攻擊者的身份特徵與攻擊動機,而非僅描述「有異常行為」。
③ 可執行的查詢語法輸出
在對話介面中,安答直接產出針對涉事帳號的深入查詢語法,資安維運人員可立即透過 SIEM 或 Log Analytics 執行應變措施,省去手動撰寫查詢的時間,在 20 分鐘內完成全盤調查並執行阻斷,防禦效率提升極為顯著。
4hr → 20min
應變時間從傳統的 4 小時以上,壓縮至 20 分鐘以內完成全盤調查與阻斷,防禦效率提升幅度超過 90%。在攻擊速度以秒計算的今天,這道時間差距,正是資料是否外洩及事件規模的重要防線。
AI 不是取代資安人員,而是幫他們搶回時間
這場案例的核心啟示並非「AI 比人聰明」,而是:在攻擊速度日益加快的環境下,人工逐步分析的線性流程已無法應對非線性的威脅擴散速度。安答所做的,是在人介入之前,將最耗時的資料整合、情資比對、語法生成等工作前置完成,讓資安人員在進場的第一秒就能做決策,而不是花四個小時尋找決策所需的資訊,這正是 AI 驅動資安應變的真正價值所在。
