使用 AI 简化身份安全查询 | Duo Security

作者：Ted Kietzman

发布日期：2025 年 11 月 6 日

阅读时间：3 分钟

当今身份基础设施存在碎片化、孤岛化和复杂化的问题。这种复杂性造成了盲点，使得合规性问题、安全态势漏洞甚至身份威胁难以被发现。组织需要对其身份环境获得更全面的可见性和风险分析。理解以下问题本应很简单：

• MFA 使用情况

• 休眠账户

• 可疑访问

• 不合规用户

然而，准确回答这些问题所需的数据往往需要数天甚至数周时间才能获取。

不用担心！思科身份智能（Cisco Identity Intelligence）正是为解决这一挑战而构建，它通过统一不同身份源的可见性，利用 AI 分析信息，使组织能够评估其身份环境的安全态势，并有效检测和应对基于身份的威胁。

但存在一个障碍：要解锁身份智能最强大的查询功能，用户需要理解 Kibana 查询语言（KQL）——这是一种技术性查询语法，虽然功能强大，但学习曲线陡峭。对于只需要答案的安全分析师、IT 管理员和业务领导者来说，学习新的查询语言不应成为他们获取关键安全洞察的障碍。

思科身份智能的 AI 驱动自然语言搜索

为了解决这个问题，思科身份智能团队利用专业 AI 技术消除了 KQL 障碍。现在，用户无需编写复杂查询，只需用自然语言提问——就像向同事提问一样。为了快速有效地交付新功能，身份智能团队通过使用 AWS 及其强大服务加速了开发工作。

想要查找未启用 MFA 且从可疑 IP 地址登录的管理员账户吗？无需编写：

groupNames.keyword:"sg-gsuite-admins" ANDmfaEnabled:false AND lastActive:{now-7d TO now-1d} ANDipAddressDetails.ipTags.name:(VPN OR TOR_Proxy)

管理员只需输入："显示最近从 VPN 或 Tor 代理登录的未启用 MFA 的 GSuite 管理员。"

真正的魔力在于？身份智能同时显示搜索结果和相应的 KQL 查询。这种双重方法意味着用户既能立即获得答案，又能同时学习底层查询结构——帮助他们有机地提升技术技能。

实际影响：从复杂到清晰

以下常见安全场景变得 dramatically 简化：

身份态势管理：合规官员需要识别不遵循命名规范的非活动服务账户。他们无需解读查询操作符和通配符，只需询问："查找账户以'sa.'开头且包含'company.'的非活动用户。"立即就能获得可操作的数据进行修复。

威胁检测和响应：在事件调查期间，您的 SOC 分析师需要快速识别最近有来自特定国家认证活动的用户。他们无需记忆国家代码和属性语法，只需查询："显示最近有来自中国 IP 活动的用户。"在关键响应窗口节省的时间可能意味着遏制与泄露之间的差异。

应用许可证评估：IT 领导层希望通过查找已分配但过去一个月未使用的 Salesforce 用户来了解应用使用情况。自然语言查询——"显示分配给 Salesforce SAML 但 30 天内未使用的用户"——使非技术利益相关者也能进行这种战略分析。

身份洞察，现在更易获取

身份智能应该赋能团队，而不是恐吓他们。通过自然语言搜索，我们确保任何需要身份洞察的人都能立即访问——无需高级培训。

准备好体验无缝访问加速的身份洞察了吗？如果您是客户，请立即在您的实例中尝试新的搜索功能。如果您想感受该功能，请在产品演示中查看功能，或开始 Duo 试用，了解思科身份智能如何改变您组织的身份安全态势。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享