谷歌Gemini助力赛门铁克提升网络安全自动化响应能力

快速阅读: 赛门铁克利用谷歌Gemini 2.5 Flash模型实现AI自动化威胁分析，优化事件摘要，减少警报疲劳，提升云沙箱脚本分类精度，改进误报检测，支持自然语言查询，加速威胁响应。

赛门铁克现已利用谷歌的Gemini 2.5 Flash系列模型实现代理AI自动化威胁分析，激活内部工具，并在整个博通安全产品组合中映射威胁。新的AI驱动事件摘要通过提供清晰的叙述、MITRE映射和补救步骤，大幅减少了警报疲劳，分析师可以在不到一分钟的时间内采取行动。谷歌的Gemini模型增强了云沙箱中的脚本分类，改进了Carbon Black Cloud中的误报检测，并支持自然语言查询，以实现更快、更直观的威胁响应。

在2025年的网络安全领域，AI已经进入实战阶段。尽管早期的AI增强产品确有帮助，但仍受限于技术瓶颈，未能完全兑现人工智能的承诺。对一些网络安全专业人士而言，AI一度被视为营销噱头。然而，这一状况正在迅速改变。9月9日，数百名首席信息安全官预计将聚集在圣何塞，参加谷歌云的安全创新论坛：AI驱动的网络安全活动，届时他们将看到基于谷歌Gemini系列模型构建的最新解决方案。

作为屡获殊荣的谷歌云合作伙伴，我们将代表赛门铁克和Carbon Black，这两家博通旗下的知名网络安全品牌出席此次活动，并带来以下内容：

代理AI准备就绪

新近加入赛门铁克终端安全-完整版（SES-C）并基于谷歌Gemini 2.5 Flash系列构建的全新赛门铁克AI助手，为安全分析师提供了一个强大的平台，用于理解威胁，无需传统评估所需的大量工作。这款新版赛门铁克AI完全具备代理能力，通过调动多个代理响应查询，几乎涵盖了赛门铁克和Carbon Black的所有威胁情报和其他数据，包括声誉数据库、威胁公告和博客、威胁情报API、技术文档、漏洞评分等。该助手可以自动激活内部威胁分析工具，获取答案并呈现洞见，供安全专业人员使用以确定下一步行动。

利用这种代理智能，赛门铁克AI能够描述威胁及其性质，分析其行为，并在整个赛门铁克和Carbon Black解决方案组合中映射威胁，让客户了解其环境中哪些解决方案具有基于文件、机器学习、网络、网页保护等功能，旨在检测、阻止和清除该威胁。

事件摘要节省数小时乃至数天时间

所有阅读此博客的人都深知警报疲劳的严重性；83%的SOC分析师表示，他们因警报量和误报而感到压力山大。缩短平均理解时间和平均确认时间（MTTU和MTTA）意味着限制威胁可能给组织带来的损害。

借助谷歌Gemini 2.5 Flash系列，赛门铁克帮助分析师快速轻松地评估威胁，通过呈现和总结事件，使分析师能够更快地理解和确认事件，进而采取知情行动。SES-C现在集成了使用AI从与事件相关的各种事件中筛选并生成摘要的功能，分析师可在几秒钟内获得这些摘要。每个事件摘要都以易于理解的叙述开始，随后是攻击链分解、可疑命令行、关键攻击观察和模式、恶意或可疑行为迹象以及建议的补救措施——揭示攻击正在展开时的洞见，并指导分析师采取行动路径。

该功能加快了初步调查活动，使安全团队能够迅速高效地解决事件。分析师可以快速获得全面的摘要，迅速判断事件的紧迫性、范围和潜在影响，并采取适当的行动——这为分析师腾出了更多时间进行批判性思考。

云沙箱中的脚本成功案例

赛门铁克云沙箱执行来自多种来源提交文件的深入分析，包括网络安全产品和终端安全产品。客户可以通过产品配置控制提交标准。

众所周知，攻击者喜欢使用脚本来协调攻击并执行恶意活动，以实现成功的LOTL攻击。现在，赛门铁克云沙箱利用谷歌的Gemini模型来分类和描述脚本。提交到云沙箱的样本将接受AI处理，以便客户获得关于脚本（如PowerShell、VBScript、JavaScript、Python等）的评估，从而提高沙箱的有效性，最终使安全环境更加稳固。

得益于更精准的分析和分类，误报现象显著减少。Carbon Black Cloud——业内最著名的端点检测与响应（EDR）解决方案的基石——新引入了Google的Gemini模型来分析和分类误报（FPs）。通常情况下，当客户提交误报时，我们的工程师会手动检查这些报告，如果确认是真正的误报，我们会优化规则集和分析方法以降低客户遇到误报的频率。现在，初步审核工作交由Google的Gemini模型完成，该模型利用我们庞大的知识库来判断误报的真实性。如果是真正的误报，Google的Gemini模型将生成标记的数据集，供我们训练自己的机器学习模型，从而减少未来Carbon Black触发类似误报的可能性。

使用AI实现反馈循环看似有些抽象——毕竟，AI本身依赖于反馈来提高其性能和准确性——但在这种情况下，对于提升产品的可用性和效率至关重要。此外，Google的Gemini模型还驱动我们的自然语言处理（NLP）引擎，允许客户以任意方式提问并获得准确且结构合理的Lucene查询表达式。这项NL查询功能提升了安全团队成员的能力，使经验较少的分析师也能在调查中发挥作用并作出贡献。

随着未来版本的Google Gemini模型部署、更多代理加入我们的代理AI特性以及持续向解决方案中添加AI驱动的创新，这些AI增强功能将继续发展。它们与其他独家AI驱动的功能相结合，例如能够结合AI和威胁情报预测攻击者下一步四到五个行动的“事件预测”，以及为Carbon Black EDR客户提供可视化威胁潜在影响范围的“威胁追踪器”。

时间在网络安全领域尤为宝贵，因此我们能为客户节省的时间越多，他们从我们的解决方案中获得的价值就越大。通过Google Gemini模型支持的这些功能，可以将调查和响应时间缩短至以往所需时间的一小部分，这无疑是巨大的变革性进步。

Symantec和Carbon Black推出的这些新功能标志着AI已经正式进入安全对话领域，这可能是安全团队今年最有价值的对话。关于Google Cloud为何将Broadcom评为2025年度安全-数据保护合作伙伴，可阅读更多相关内容。

作者简介

Mark Gentile

企业端点安全解决方案首席架构师

Mark Gentile是企业端点安全解决方案的首席架构师，全面负责Symantec旗舰端点安全产品线的技术工作。他曾任Odyssey Software的CEO兼创始人，该公司已被Symantec收购。

(以上内容均由Ai生成)