核心看点

1. 新兴的模式是分析师管理一套由智能体组成的系统，人类的角色从操作者转变为协调者。
2. 分析师在现场监督结果，而不是执行任务。
3. 认为AI会淘汰初级分析师的说法，是误解。这个职位不会消失，它正在被重新定义。

全文内容：

每个SOC分析师都听过这句话："AI要来抢你的工作了。"

我在与SOC团队的对话中听到过这种担忧，在评估时看到过这种犹豫，也越来越强烈地感受到它作为一种抵触情绪的源头——而这种抵触恰恰来自AI本应帮助的那些人。

但现实恰恰相反。

AI并没有消灭一级分析师这个岗位，而是在提升它——从一份以重复性任务定义的工作，变成一份以判断力、监督和决策定义的工作。简而言之，AI让他们变得更强大，成为了SOC指挥官。

工作本身从来都不是重点

要理解正在发生的变化，我们需要对一级分析师的历史角色有一个清醒的认识。

在一个典型的SOC中，一级分析师可能需要花20到30分钟来调查一条钓鱼警报——跨越邮件日志、端点数据和威胁情报工具进行 pivot，验证信号并记录发现。这是一项必要的工作，但也是高度重复和耗时的。

现代安全运营产生的数据量超出了人类合理处理的能力。调查一条警报通常需要跨越身份系统、端点遥测、云日志和威胁情报源进行 pivot。将这个过程乘以每天数百或数千条警报，你就得到了一种与人类能力根本不相符的工作负载。

更重要的是，SOC分析师的才能被浪费在这种不适合人类的工作上了。多年来，我们一直将其视为做生意的必要成本。AI改变了这个等式。

从自己做工作到指挥工作

智能体AI引入SOC的核心能力是：委托。

分析师不再需要人工收集证据、拼接上下文，AI智能体现在可以自主执行调查步骤：实时查询系统、关联信号并构建证据链。这并没有把人类从流程中移除，而是提升了人类在流程中的位置。

新兴的模式是：分析师管理一套智能体系统——每个智能体负责调查的一个环节——而不是自己执行每个步骤。人类的角色从操作者转变为协调者。

我从安全负责人那里反复听到的并非"我需要我的分析师更快地行动"，而是"我需要我的分析师停止收集数据，开始基于数据做决策"。这是两个根本不同的问题。而它们之间的差距，正是AI创造最大价值的空间。

"智能体管理者"的崛起

这就是一级岗位的进化方向——不是消失。

在这个新模式中，初级分析师实际上是在管理一群AI智能体。他们负责审查调查结果、验证结论，并确保行动与业务上下文和风险承受能力保持一致。

他们不再是每个步骤都"在循环中"（in the loop），而是"在循环上"（on the loop）——监督结果，而不是执行任务。

当分析师被迫停留在每个步骤的循环中——检查每一次富化、每一次查询、每一个中间结果——他们就成了瓶颈。当他们转到循环上时，他们可以规模化运作，以适当的监督级别审查数十或数百个调查。

这就是建立对AI信任的方式：不是让人类验证一切，而是让他们能够验证任何东西。

透明度成为控制平面。分析师可以精确地看到AI做了什么、如何得出结论、以及不确定性在哪里。随着时间推移，当准确性得到验证，他们自然会增加信任程度——就像欢迎新同事加入团队一样。

为什么网络安全有所不同

对工作被取代的恐惧是可以理解的。在许多行业，AI正在减少对入门级岗位的需求。网络安全是AI不会减少工作量的少数领域之一。它将暴露我们一直无法完成的工作量有多大。

威胁的数量和复杂性正以超出团队扩展的速度增长。攻击者已经在使用AI来自动化侦察、生成代码和加速利用。防御者没有选择躺平。

威胁狩猎、检测工程和控制优化长期以来都处于资源不足的状态，因为团队被警报分类工作占用了。当AI移除这个负担后，就为分析师做他们受训要做的事创造了急需的空间。工作不会减少，真正的工作终于可以完成了。

入门级人才的新基准

这种转变也改变了我们对一级分析师的期望。

从历史上看，一级岗位的设计初衷是让分析师通过做重复性任务来学习。当这些任务可以自动化时，这种模式就不再有意义了。

基准正在向理解AI系统如何运作的方向移动：解释它们的输出、质疑它们的推理、引导它们的行为。以人为本的技能变得更加重要，而不是更不重要。好奇心、批判性思维，以及将分散的信号连接成连贯叙事的能力——这些才是AI驱动的SOC中的差异化因素。

我们已经看到组织重新思考如何为这些岗位招聘人才。对证书的重视程度降低，更注重一个人的思维方式和解题能力。当AI处理机械性工作时，判断力才是工作本身。

建立经得起考验的信任

如果未来如此清晰，为什么还有抵触？在大多数情况下，这归结为信任——而信任必须赢得，而不是假设。

我见过的失败部署有一个共同模式：组织将AI视为从无自动化到完全自主的二极切换。这不是安全团队的工作方式，也不应该被要求以这种方式工作。

有效的是循序渐进。从有限的、高置信度的用例开始。对系统如何得出结论提供完全透明的信息。让分析师在扩大范围之前验证结果。关键的是，让从业者参与进来。不是实施顾问或项目经理，而是那些曾经轮班运营SOC、分类过数千条警报、并以hard way赢得信誉的人。

这就是为什么我们在部署时，会带前SOC负责人、威胁猎人和检测工程师与分析师团队直接合作。他们不是来配置软件的。他们来是为了建立对系统的信任——因为他们已经从使用它的人那里赢得了信任。当分析师看到帮助他们部署这项技术的人曾经历过同样的艰辛，对话就会改变。它不再是"这会取代我吗"，而是"我如何用好它"。

这种方向的转变——从威胁到工具——正是区分成功部署与停滞部署的关键。

信任差距不是技术问题。是人的问题。而它关闭的方式与其他所有信任关闭的方式相同：通过证明的能力、共享的上下文和时间。

未来的SOC以人为领导

最终状态不是一个没有人类参与的全自主SOC。它是一个以人为领导的、由AI驱动的SOC。

AI智能体处理安全运营中劳动密集型的证据收集环节。人类提供方向、监督和问责。两者共同实现了一种单靠任何一方都无法达到的速度和规模。这不是理论——这是今天在生产环境中正在发生的事情。

提升，而不是淘汰

AI将淘汰一级分析师的说法没有抓住要点。这个岗位不会消失。它正在被重新定义。

在这个新环境中成功的分析师，将是那些能够管理智能系统、解释复杂输出并在不确定情况下做出高质量决策的人。

他们不会被取代。他们会被晋升。