Új kolléga a SOC csapatban: 3 hónap tapasztalatai AI elemző alkalmazásával
Szabó Gábor
2025.07.01
Miért volt szükség AI elemző-re a SOC-ban?
A SOC működésének egyik legnagyobb kihívása a folyamatosan növekvő adatmennyiség és az ebből származó incidensvolumen kezelése. Az elemzők gyakran küzdenek a kiégéssel, mivel a munkájuk jelentős részét nem az érdemi elemzés, hanem ismétlődő adminisztratív és koordinációs tevékenységek teszik ki.
Bár a technológiai háttér folyamatosan fejlődik – SIEM rendszerek, viselkedéselemzés (UEBA), végponti védelem stb. – ezek a rendszerek többnyire arra helyezik a hangsúlyt, hogy minél több adatot gyűjtsenek, minél több kivizsgálandó riasztás kerüljön be a SOC-ba, nem pedig arra, hogy segítsék az incidensek elemzését és kezelését. Az AI elemző bevezetésével éppen ezért az incidenskezelés hatékonyságának növelését céloztuk meg.
Megoldás: testreszabott Netwitness AI modul
Az általános LLM modellek jellemzően nem értik a SOC szakzsargont, a szervezet sajátos technológiai környezetét, és nem képesek kontextusfüggő jelentéseket, döntéselőkészítő anyagokat készíteni.
A választás végül a Netwitness AI alapú moduljára esett, amely a következő előnyöket nyújtja:
- Egyedileg testreszabható prompt logika és tréning saját SOC kontextus alapján.
- Integráció meglévő infrastruktúrával, pl. Active Directory.
- Role-specifikus működés, komplett ökoszisztéma vízióval – külön AI asszisztensek L1, L2 elemzők, threathunterek, SOC managerek, voulnerability menedzserek támogatására.
- Folyamatos visszacsatolási lehetőség a fejlesztők felé.
Működés a gyakorlatban: hogyan teljesített az AI elemző?
A bevezetés három hónapja alatt az AI elemző:
- 1082 incidenst elemzett és generált jelentéseket.
- Az elemzések minőségét humán elemzők validálták.
- Hallucinációs ráta: csupán 0,28%.
- Formázási hibák (dátum/idő) adták a hibák 86%-át.
- Tartalmi hibák elenyészőek voltak, főként kontextushiány vagy túlértelmezés miatt.
Idő- és költséghatékonyság
A különböző forrásmodulok alapján az átlagos incidenselemzési idők:
| Forrásmodul | Átlagos humán elemzési idő AI reporttal | Átlagos LLM költség/incidens |
| Végponti risk score modul | 4 perc | 37 cent |
| EDR (klasszikus) | 5 perc | 22 cent |
| Korrelációs engine | 3.5 perc | 17 cent |
| UEBA viselkedés-elemzés | 2.5 perc | 48 cent |
| Átlag | 4,5 perc | 33 cent |
Humán vs. AI elemző
A kollégáink eleinte szkeptikusan álltak a megoldáshoz, de az első hónapok során több előnyt is kiemeltek:
- Jelentős időmegtakarítás – főleg korrelációs riasztásoknál.
- Automatikus kontextus elemzés (pl. service user mögötti valódi felhasználó azonosítása).
- Hasznos eszköz junior kollégák betanítására: AI elemző által generált riportok Segítségével önálló betanulás.
Következtetések: AI és ember együttműködése a SOC-ban
Az első három hónap tapasztalatai alapján kijelenthető, hogy az AI nem a humán elemzők helyettesítésére, hanem támogatására és tehermentesítésére a leghasznosabb. Az AI:
- Gyorsítja a munkát,
- Csökkenti az ismétlődő, adminisztratív terheket,
- Segít a tudás átadásában,
- És egyre megbízhatóbbá válik a folyamatos visszacsatolás révén.
Az AI-elemző használata a SOC-ban nem jövőkép, hanem már a jelen. A legnagyobb értéke pedig az, hogy lehetőséget ad az elemzőknek arra, hogy végre azzal foglalkozzanak, amihez igazán értenek: a komplex és kritikus incidensek elemzésével.