【要約】「調べますね」— AI当直アナリスト ケイティ:見た目ゆるふわ中身は超エキスパートSOC(Sysdig × Claude × OpenAI) [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
SOCのアナリストは、深夜のアラート発生時に、膨大なログから脅威を特定するための複雑な多段調査を強いられる。このプロセスにおいて、以下の課題に直面している。
- ・調査の複雑化:ログ確認からプロセスツリーの追跡まで、多くのステップを要する。
- ・判断の属人化:アナリストのスキルに依存し、調査品質が一定しない。
- ・AI利用の安全性:万能なAIに全権を渡すと、制御不能や誤情報の拡散を招く恐れがある。
// Approach
本PoCでは、役割を分担したエージェントチームを構築し、調査の「脳」と報告の「口」を分離するアーキテクチャを採用した。
- ・Sysdigの機能をMCP(Model Context Protocol)経由でAIが使える「道具」として提供。
- ・Claude Agent SDKを用い、PlannerやSpecialist等の役割を分担したマルチエージェント構成を実現。
- ・OpenAI Realtime APIにより、低遅延な音声対話インターフェースを実装。
- ・「4枚の壁」による構造的な安全性確保(read-onlyトークン、deny-by-default、入力検証、出力検品)。
// Result
XMRIGによる暗号資産マイニング事案の調査において、AIが自律的に多段調査を行い、根拠に基づいた正確な報告を完遂した。
- ・調査の自動化:イベント一覧からプロセスツリーまでを、数回のツール呼び出しで特定。
- ・品質の可視化:5軸のoffline evalにより、捏造や過剰判定を統計的に管理。
- ・今後の展望:脆弱性やK8s等の専門エージェントの拡充と、Plannerの自律化。
Senior Engineer Insight
> LLMの不確実性を前提とした、極めて実戦的な設計である。特に、安全性をLLMの挙動に頼らず、MCPの権限管理やトークンのスコープといった「構造」で解決するアプローチは、本番環境への導入において不可欠な視点だ。また、品質を「eval」として分離し、統計的に管理する手法も、エージェントの信頼性向上に寄与する。ただし、音声UXの遅延や、複雑な事案におけるPlannerの判断精度が、実運用における真のボトルネックになるだろう。