SOC 产品思考
对 SOC 产品方向的核心洞察与设计原则,指导后续产品决策。
核心假设
能不能把分析师做判断所需的上下文自动聚合到一屏之内。
谁在做这件事、做得好,谁就能真正降低 MTTD/MTTR,而不只是换一个告警来源。
两大挑战
产品/工具维度:信噪比是核心死结
- "检测全"和"告警少"不可兼得 — 规则松了漏报(FN),紧了误报(FP)淹没分析师
- 大多数 SOC 团队 80% 的时间在处理误报,真正的威胁在告警疲劳中被忽略
- 安全产品天然是"多源异构数据的关联引擎",但厂商各守一片数据,检测能力碎片化
- 用户被迫在 SIEM、EDR、NDR、SOAR 之间做人肉"胶水层"
产品经理维度:用户永远在救火,没空给你反馈
- 目标用户(L1/L2 分析师)常年高压值班,极少参与访谈或试用新功能
- 收到的反馈多是表层抱怨("太慢"、"太多告警"),而非深层工作流痛点
- 安全产品的价值是"坏事没发生",ROI 叙事极其困难
- 买单人(CISO)和使用者(分析师)需求错位:管理层要仪表盘和合规报告,分析师要"别让我多点三下鼠标"
AI Native vs 非 AI Native SOC 平台
核心区别不在于"有没有用 AI",而在于 AI 是功能还是架构。
非 AI Native:以告警为中心,人驱动流程
告警队列 → 人读告警 → 人去各工具查上下文 → 人做判断 → 人执行响应AI 是后加的"辅助功能":给告警打个风险分、写个摘要、推荐 Playbook。底层架构没变 — 还是"告警列表 + 人逐条处理"。分析师的工作本质是 信息检索。
AI Native:以调查为中心,AI 驱动流程
AI 自动关联信号 → 聚合上下文 → 生成调查结论与置信度 → 人审核判断 → AI 执行响应分析师的工作本质变成了 审核与决策:AI 把拼图拼好,分析师判断"拼得对不对"。
5 个关键设计差异
| 维度 | 非 AI Native | AI Native |
|---|---|---|
| 工作单元 | 告警(Alert)— 逐条处理 | 调查(Investigation)— 多信号自动聚类 |
| 检测逻辑 | 规则优先 — 人写规则,命中即告警 | 推理优先 — 建立行为基线,偏离时解释"为什么可疑" |
| 上下文获取 | 人拉(Pull)— 分析师主动去各工具查 | 系统推(Push)— AI 预组装上下文到一个视图 |
| 分诊模式 | 人判断 FP/TP,AI 只辅助打分 | AI 给出判断 + 推理链,人做验证和纠偏 |
| 学习闭环 | 手动调规则 | 持续学习 — 分析师每次同意/否决都在训练模型 |
最本质的差异:分析师角色重新定义
- 非 AI Native:分析师是"数据搬运工 + 决策者",80% 时间在搬运,20% 在决策
- AI Native:比例反转 — 80% 时间花在决策和高阶分析上
对核心假设的延伸
AI Native 不只是"把上下文聚合到一屏",而是 在聚合的基础上给出判断和推理链 — 分析师看到的不是一堆原始数据,而是一个有结论、有依据、可推翻的调查报告。
PM 设计锚点的差异
- 非 AI Native PM 在想:"怎么让查询更快、告警列表更好用"
- AI Native PM 在想:"怎么让 AI 推理链可解释、让人信任 AI 判断、让纠偏反馈最短路径回到模型"
设计原则
- 减少上下文切换 — 分析师看到告警后,还需要去哪里查什么信息才能做判断?把这些信息自动关联、聚合、呈现在一个视图中
- 功能优先级围绕"切换次数"排序 — 每砍掉一次跳转(SIEM → TIP → EDR → CMDB),就是一次真实的效率提升
- 区分两套叙事 — 对 CISO 讲风险与合规,对分析师讲效率与体验,产品需要同时满足两个视角
- AI 推理链可解释 — 分析师需要看到 AI 为什么得出这个结论,而非只给一个分数
- 纠偏即训练 — 分析师否决或修正 AI 判断的动作,应以最短路径回流为模型学习信号