الذكاء الاصطناعي الوكيلي في SOC

يمثل AuroraSOC انتقالًا من أتمتة أمنية قائمة فقط على القواعد الثابتة إلى عمليات أمنية تقودها وكلاء ذكاء اصطناعي يستطيعون التحليل، واستخدام الأدوات، والتعاون مع البشر ومع وكلاء آخرين.

SOC التقليدي مقابل SOC الوكيلي

الفروق الرئيسية

الجانب	SOC تقليدي	SOC وكيلي
التحليل	المحلل يقرأ التنبيهات واحدًا تلو الآخر	الوكلاء يفرزون التنبيهات ويحددون الأولويات آليًا
السياق	الربط بين البيانات يدوي	الوكيل يستعلم عن أكثر من مصدر بشكل مستقل
القرار	الإنسان يقرر كل خطوة	الوكيل يقرر، والإنسان يوافق على الخطوات الحرجة
السرعة	دقائق إلى ساعات لكل تنبيه	ثوانٍ لكل تنبيه
قابلية التوسع	مقيدة بعدد المحللين	يمكنه التعامل مع آلاف التنبيهات المتزامنة
الاتساق	يتأثر بخبرة المحلل وإرهاقه	منهجية متسقة في كل مرة
التعلم	المعرفة محفوظة في playbooks	الذاكرة العرضية تحتفظ بخلاصة التحقيقات السابقة

ما الذي يجعل الوكيل وكيلًا فعلًا؟

1. الاستقلالية

عندما يصل تنبيه، لا يكتفي الوكيل بالوصف، بل يقرر ماذا يفعل بعد ذلك، مثل:

الاستعلام من SIEM عن الأحداث المرتبطة.
استخراج وإثراء IOCs.
ربط السلوك بتقنيات MITRE ATT&CK.
اقتراح إجراءات الاستجابة.

2. استخدام الأدوات

يتعامل الوكلاء مع العالم الفعلي عبر 31 أداة MCP:

3. الذاكرة

يتذكر الوكلاء التحقيقات السابقة عبر نظام ذاكرة ثلاثي الطبقات:

Tier 1 (Sliding Window): سجل المحادثة القريب، سريع وزائل.
Tier 2 (Episodic Memory): الحالات السابقة المخزنة داخل PostgreSQL عبر embeddings من pgvector لاستدعاء دلالي.
Tier 3 (Threat Intelligence): قاعدة معرفة IOC مدعومة بـ PostgreSQL وpgvector مع تخزين Redis المؤقت للمسار السريع.

هذا يسمح للوكيل أن يقول مثلًا: "هذا النمط يشبه حملة APT29 التي حققنا فيها قبل ثلاثة أسابيع".

4. التعاون

يتعاون الوكلاء عبر بروتوكول A2A (Agent-to-Agent):

يقوم Orchestrator بتجزئة المهمة وتوزيعها على المتخصصين.
يمكن للمتخصصين طلب المساعدة عبر handoff tools.
تدمج النتائج في تقارير وتحقيقات موحدة.

إطار BeeAI

يبنى AuroraSOC فوق BeeAI من IBM، والذي يوفر:

RequirementAgent لوكلاء ذوي إخراج منظم ووصول مضبوط إلى الأدوات.
Tool abstraction لواجهة موحدة بين الوكلاء والأدوات.
Memory interface تسمح بربط طبقات ذاكرة مخصصة.
Middleware لتتبع reasoning trajectory على مستوى النظام.
AgentWorkflow لخطوط العمل متعددة الخطوات.

لماذا BeeAI؟

اختير BeeAI بدل بدائل مثل LangChain وCrewAI وAutoGen لأنه يقدم:

دعمًا مباشرًا للتواصل بين الوكلاء عبر A2A.
تكاملًا طبيعيًا مع MCP.
واجهة ذاكرة مرنة متعددة الطبقات.
برمجيات وسيطة مناسبة للإنتاج والمراقبة.
إمكانية فرض أدوات في خطوات محددة مثل ThinkTool في الخطوة الأولى.

استقلالية طبقة LLM

يدعم AuroraSOC حاليًا عائلتين خلفيتين لاستدلال وقت التشغيل:

المزوّد	الإعداد
vLLM (الإنتاج)	`LLM_BACKEND=vllm` `VLLM_BASE_URL=http://vllm:8000/v1`
Ollama (محلي)	`LLM_BACKEND=ollama` `OLLAMA_BASE_URL=http://ollama:11434`
نماذج vLLM	`VLLM_MODEL=granite-soc-specialist` `VLLM_ORCHESTRATOR_MODEL=granite-soc-specialist`
نماذج Ollama	`OLLAMA_MODEL=granite4:8b` `OLLAMA_ORCHESTRATOR_MODEL=granite4:dense`

سلوك الوكلاء يبقى نفسه عبر هذه الواجهات الخلفية، بينما تختلف فقط خصائص الأداء والإنتاجية التشغيلية.

SOC التقليدي مقابل SOC الوكيلي​

الفروق الرئيسية​

ما الذي يجعل الوكيل وكيلًا فعلًا؟​

1. الاستقلالية​

2. استخدام الأدوات​

3. الذاكرة​

4. التعاون​

إطار BeeAI​

استقلالية طبقة LLM​