智能体驱动的安全告警自动化调查：让大语言模型成为虚拟安全分析师

本文提出一种基于大语言模型（LLM）的智能体工作流，通过结构化查询与受限工具访问，自动化安全告警的初步调查，旨在解决企业安全运营中心（SOC）的告警疲劳问题，显著提升调查准确性并减轻分析师手动工作负担。核心思路是结合真实分析师的调查实践与结构化方法，让LLM扮演虚拟安全分析师角色，而非替代整个调查流程。

现代企业SOC中，分析师每日需处理海量安全告警——中型企业日均数千至上万条，仅少数能被深入调查。传统安全检测系统提供低上下文告警（如“可疑IP访问”），分析师需手动关联防火墙日志、EDR数据、网络流量等多源信息，单次初步调查耗时数十分钟至数小时，导致告警疲劳及关键威胁被遗漏。

直接将LLM应用于原始日志存在三大问题：数据量庞大（GB/TB级）不经济；日志格式杂、噪音多，难提取价值；安全调查需系统推理而非简单匹配。研究提出核心理念：结合真实分析师实践与结构化方法，让LLM成为虚拟分析师，而非替代流程。

采用三层架构平衡自动化与可控性：

1. 数据概览与查询规划：LLM生成预定义概览查询（如“过去24小时外部通信IP”），智能选择相关子集，减少数据处理量；
2. 结构化证据提取：通过受限工具访问（Suricata日志的SQL查询、非结构化日志的grep搜索）获取精准证据，保证安全与效率；
3. 综合研判：LLM整合证据生成带推理过程与证据链的最终裁决，便于人类审核。

实验用真实Suricata日志模拟场景，对比结果：

• 直接使用LLM准确率较低，证明需结合结构化流程；
• 完整工作流在多场景准确率显著更高，复杂推理场景优势更明显；
• 裁决含清晰证据链，可解释性强，易获分析师信任。

三点关键启示：

1. LLM是助手而非万能药，可承担重复性初步调查，让分析师专注高价值任务；
2. 结构化方法至关重要，设计查询接口与流程提升准确性、可控性；
3. 可解释性是信任基础，安全决策需清晰的推理依据。

局限：实验仅基于Suricata日志，需适配Windows事件日志、云审计日志等；查询模板需场景化维护，存在工作量。未来方向：扩展日志类型与接口；探索LLM自动生成优化查询模板；集成安全编排自动化响应（SOAR）平台。

本研究展示务实AI应用：通过结构化工作流设计，让AI成为人类分析师的得力助手。智能体驱动的自动化方法在告警调查中已显潜力，未来SOC有望实现更高效、准确的威胁检测与响应。