Une étude de cas détaillée d'une équipe SOC chinoise révèle comment elle a réduit le taux de faux positifs de 33 % à 7 % en utilisant une approche d'IA multi-modèles. L'équipe a constaté que se fier uniquement à Claude pour le triage des alertes conduisait à des résultats incohérents, en particulier pour les événements de sécurité nuancés. Au lieu de cela, ils ont déployé un pipeline : un modèle léger pour la classification initiale des alertes, un modèle spécialisé pour l'enrichissement du contexte (réputation IP, comportement utilisateur, fils Slack), et Claude uniquement pour l'aide à la décision finale. Cette architecture en couches a réduit la fatigue des analystes et amélioré le temps moyen de réponse. L'article inclut des métriques spécifiques et des compromis, tels que la latence par rapport à la précision pour différents choix de modèles. Pour les responsables techniques, cela offre un plan concret pour les opérations SOC assistées par l'IA sans surinvestir dans un seul LLM.
Une équipe SOC chinoise décrit comment elle a réduit le taux de faux positifs de 33 % à 7 % en combinant plusieurs modèles d'IA. L'idée clé est que Claude seul ne suffisait pas ; une approche en couches avec des modèles spécialisés était cruciale.