新闻中心
  行业新闻
  公司动态
 
首页 > 新闻中心 >行业新闻 >FortiSOC:以统一平台和智能体AI重塑安全运营中心
 
FortiSOC:以统一平台和智能体AI重塑安全运营中心
[ 2026-07-15 16:18:40] 作者:福义轩信息技术部 来源:福义轩信息技术部

                   FortiSOC:以统一平台和智能体AI重塑安全运营中心

 

 

FortiSOC:以统一平台和智能体AI重塑安全运营中心

Fortinet网络安全平台
 
2026年7月15日 08:30 

 






FortiSOC是Fortinet刚刚推出的一款以SaaS形态交付的安全运营中心(SOC)统一平台。这款产品将安全信息和事件管理(SIEM)、安全编排自动化与响应(SOAR)、威胁情报、行为与身份威胁检测(ITDR)等核心安全运营能力整合进一个平台,并以智能体AI(Agentic AI)驱动从告警到调查再到响应的全流程自主运营。


Part.01

 

 

 

 

 

 

 

单一平台,安全运营需求全满足


尽管近年来安全技术突飞猛进,但安全运营人员面临的压力并没有丝毫减轻。实际上,在AI技术加持下,攻击速度正在不断加快,告警量也是持续增长,与此同时,工具和流程却高度碎片化,安全运维压力有增无减。安全分析师每天被迫在SIEM、SOAR、威胁情报平台、EDR、NDR等多个控制台之间来回切换,手动拼接来自网络、端点、云端和身份系统的事件片段。

过多的工具不仅拖慢了调查和响应速度,还导致了大量安全盲区。不同工具之间的数据割裂,意味着攻击者只需要在一个未被覆盖的缝隙中活动,就能绕过整个安全防御体系。

FortiSOC将分散的安全运营能力集中到一个统一的平台,消除了这种碎片化。




 

在架构层面,它建立了一条共享数据管道:来自网络、端点、云和身份系统的遥测数据被统一接入后,进行一次性的标准化、丰富化和关联处理,映射到共享数据模型。这套模型覆盖用户、设备、应用和会话等核心实体,确保检测规则、行为分析和响应工作流都运行在同一套数据之上,无需各个工具之间反复做数据对账。

FortiSOC原生集成安全运营的各种能力,各模块深度打通、协同联动:



SIEM负责日志聚合与关联分析,提供跨环境的事件可见性;


SOAR提供数千个预置剧本(Playbook),支持从告警自动分诊到遏制、修复、工单升级的完整自动化链路;


ITDR融合用户行为分析(UEBA)与身份威胁检测,识别凭证滥用、横向移动和权限提升等攻击模式;


威胁情报对来自FortiGuard Labs的实时情报源以及第三方情报的每条告警注入信誉、指标和攻击活动上下文。


尤为重要的是,这些能力不再是来自一个个独立运行的工具,而是来自同一个平台上的原生功能模块。分析师可以在单一控制台中完成从告警分析、上下文调查、时间线重建到响应执行的完整工作流程,无需切换系统。


Part.02

 

 

 

 

 

 

智能体AI嵌入,驱动安全运营向自主化升级


如果说统一平台解决了工具碎片化的问题,那么FortiSOC内置的智能体AI——FortiAI-Assist则直接瞄准了效率瓶颈。

FortiAI-Assist不是简单地在侧边栏提供对话式问答,而是深度嵌入到SOC的运营工作流中。分析师可以给它下达指令,比如"分析这次暴力破解攻击,评估关联活动,定位受影响资产,并提出建议措施"。

FortiAI-Assist会分步骤自动执行调查流程,跨告警、跨资产、跨时间线关联数据,最后给出结论和建议。在整个过程中,AI自主完成重复性的分析工作,但在需要关键决策的节点(如进行隔离或阻断时)保留了人审批的门槛。


 


FortiAI-Assist内置的推理智能体能够识别多阶段协同攻击,它将分布在网络、端点、身份系统中的分散信号串联起来,还原攻击链,让分析师聚焦于真正重要的威胁,而非在海量孤立告警中手动筛选。

FortiSOC通过模型上下文协议(Model Context Protocol,MCP)实现了多AI能力的编排与协调。FortiAI-Assist能够跨不同AI模型和任务进行统一调度,保持上下文连贯性,最大限度地减少因手动交接导致的响应延迟。

在响应端,FortiAI-Assist能根据告警上下文、资产关键度、威胁情报和行为模式动态确定最优响应路径——可能是继续调查、升级、遏制、修复或启动额外的威胁狩猎。当适合自动化执行时,FortiSOC通过集成的SOAR工作流直接触发操作(如隔离端点、更新策略、创建工单)。当需要人工审批时,分析师全程保持控制权。


Part.03

 

 

 

 

 

 

 

SaaS模式交付,快速部署


传统SOC建设通常需要数月时间来完成基础设施搭建、产品部署和集成调试。FortiSOC以纯SaaS模式交付,没有需要自建的基础设施,没有需要逐一对接的工具链,分析师可以在上线当天就获得完整的检测、调查和响应能力。

数据集成是SOC的基础。在这方面,FortiSOC与Fortinet Security Fabric全线产品(FortiGate、FortiEDR、FortiNDR、FortiSandbox等)实现原生双向集成,例如防火墙策略变更可以基于SOC告警自动触发,反之也能将网络侧的安全事件实时推送至SOC平台进行分析。

同时,FortiSOC还支持超过1000个第三方产品的连接器,用于事件采集、联合搜索和威胁修复等关键能力。对于已经部署了异构安全工具的企业,FortiSOC可以作为中央监控与控制点,将碎片化的安全栈收敛到统一的运营视图中,消除了安全盲区。

由于检测、丰富化分析和响应操作都运行在同一套共享数据上,事件处理的重复性和一致性显著提升。这降低了对分析师个人经验的依赖,过去那种"同一个告警在不同人手里结论完全不同"的局面会大幅减少,为运营规模的持续扩展打下更可靠的基础。


Part.04

 

 

 

 

 

 

 

两种订阅模式,支持按需扩展


FortiSOC提供两种订阅方式:Core和Advanced,分别对应不同成熟度的安全团队,企业可以按需选择。FortiSOC还为扩展运营做好了准备,无论是扩大覆盖范围、引入托管服务,还是在检测和响应工作流中实现更多自动化,都能充分支持。

Core版面向资源有限的安全团队,提供智能体AI驱动的威胁检测与响应、日志采集监控,以及针对Fortinet Security Fabric的运维可见性。

Advanced版在Core的基础之上叠加完整的多厂商SIEM、SOAR、身份威胁检测和威胁情报功能,提供高级威胁检测、全功能事件管理和无限自动化编排能力。