تا همین چند سال پیش، مراکز عملیات امنیت (SOC) بر پایه "گزارش-بررسی-پاسخ" بنا شده بودند. تحلیلگران ساعت‌ها وقت خود را صرف بررسی هشدارها (Alerts) می‌کردند تا بفهمند آیا یک اتفاق واقعی است یا یک Positive False. اما در ژوئن ۲۰۲۶، ما شاهد تولد Agentic SOC هستیم؛ سیستمی که در آن هوش مصنوعی دیگر تنها یک "دستیار" برای نوشتن کوئری نیست، بلکه یک "عامل" (Agent) است که می‌تواند تصمیم بگیرد، تحقیق کند و اقدام کند .

چالش فعلی: چرا مدرن‌سازی SOC اجتناب‌ناپذیر است؟

مدیران امنیت (CISOs) با چهار چالش اصلی روبرو هستند:

•  حجم عظیم داده‌ها: سرعت تولید لاگ‌ها فراتر از توان پردازش انسانی است.

• حملات AI-Driven: مهاجمان از AI برای تغییر سریع بارهای مفید (Payloads) استفاده می‌کنند تا از شناسایی توسط امضاهای ایستا فرار کنند .

• خستگی هشدار (Alert Fatigue): تحلیلگران به دلیل تعداد زیاد هشدارهای بی‌اهمیت، موارد بحرانی را نادیده می‌گیرند.

• کمبود نیروی متخصص: نیاز به مهندسانی که هم در SPL (زبان Splunk) و هم در AI تسلط داشته باشند.

Agentic SOC 
چیست و چگونه کار می‌کند

برخلاف سیستم‌های SOAR قدیمی که بر اساس Playbookهای خطی (اگر این شد، آن کار را بکن) عمل می‌کردند، Agentic AI دارای قابلیت‌های زیر است:

• Reasoning (استدلال): می‌تواند بفهمد چرا یک رفتار مشکوک است.

• Planning (برنامه‌ریزی): مراحل لازم برای بررسی یک حادثه را خودش طراحی می‌کند.

• Action (اقدام): می‌تواند به طور مستقل کوئری‌های جدید بزند، IPها را در Blacklist قرار دهد یا Snapshot از ماشین هدف بگیرد .

نقش Splunk در این اکوسیستم

اسپلانک با معرفی "عوامل تخصصی" (Specialized AI Agents) در Enterprise Security، SOC را از یک عملیات انسان‌محور به یک همکاری انسان-ماشین تبدیل کرده است. این عوامل در حوزه‌هایی مانند:

1. Detection Building: تبدیل فرضیات شکار تهدید به قوانین SPL فعال.

2. Malware Reversing: تحلیل سریع نمونه‌های مشکوک.

3. Guided Response: ارائه گام‌های بهینه برای پاکسازی سیستم .

استراتژی‌های دفاعی برای مهندسان تشخیص (Detection Engineering)

برای بهره‌برداری از این فناوری، تیم‌های دفاعی باید روی موارد زیر تمرکز کنند:

1. انتقال به Detection-as-Code: استفاده از AI برای تولید سریع قوانین شناسایی بر اساس آخرین گزارش‌های CISA KEV.

2. بهینه‌سازی لایه داده: AI بدون داده‌های باکیفیت (Clean Data) کار نمی‌کند. تمرکز بر Normalization داده‌ها ضروری است.

3. تست مستمر با AI Red Teaming: استفاده از AI برای شبیه‌سازی حملات و تست کردن دقت Agentهای دفاعی.

نتیجه‌گیری

یک انتخاب نیست، بلکه یک ضرورت برای بقا در سال ۲۰۲۶ است. سازمان‌هایی که همچنان بر روش‌های دستی تکیه می‌کنند، در برابر حملاتی که با سرعت میلی‌ثانیه‌ای AI اجرا می‌شوند، شکست خواهند خورد

جدول نگاشت MITRE ATT&CK (Mapping Table)

قوانین تشخیص (Detection Rules - Splunk SPL)

برای شناسایی اجرای دستورات Base64 در PowerShell (یکی از متدهای رایج برای دور زدن شناسایی)، می‌توان از این کوئری بهینه شده توسط AI استفاده کرد:

index=windows_logs EventCode=4104 
| where match(ScriptBlockText, "(?i)(-enc|-encodedcommand)") 
| eval decoded_text=tostring(base64decode(replace(ScriptBlockText, ".*-enc\s+([A-Za-z0-9+/=]+).*", "\1"))) 
| where decoded_text IN ("*Invoke-Expression*", "*IEX*", "*Net.WebClient*", "*Start-Process*") 
| stats count by host, user, decoded_text 
| rename host as "Affected_Machine", user as "Compromised_User"

توضیح: این قانون ابتدا دستورات رمزنگاری شده را شناسایی کرده، آن‌ها را Decode می‌کند و سپس کلمات کلیدی خطرناک را در متن رمزگشایی شده جستجو می‌کند.

راهنمای شکار تهدید (Threat Hunting Guide)

هدف: شناسایی حملات بدون فایل (Fileless) با استفاده از Agentic AI.

1. فرضیه سازی: "مهاجم از ابزارهای مدیریت سیستم برای اجرای کدهای مخرب در حافظه استفاده می‌کند."

2. جمع‌آوری داده: استخراج لاگ‌های Process Execution و Network Connections از Splunk.

3. تحلیل توسط AI Agent:

   • از AI بخواهید رابط-به-رابطه (Process Tree) را تحلیل کند تا Parent-Child غیرمعمول (مثلاً sqlservr.exe $\rightarrow$ cmd.exe) را پیدا کند.

   • بررسی ارتباطات شبکه به دامنه‌هایی که در ۲۴ ساعت گذشته ثبت شده‌اند (Newly Registered Domains).

4. تأیید: بررسی اثرات جانبی (Artifacts) در حافظه RAM توسط ابزارهای DFIR.