【導入案例】BRIDGED PURPLE SOC採用AI日誌分析代理『LogEater』：與Elastic Security結合之混合架構將成本大砍50%

Logspect株式會社（總部：東京都澀谷區，代表董事：日比野恆）宣布，該公司提供的AI日誌分析代理『LogEater』，已獲株式會社BRIDGED（總部：東京都千代田區，代表董事：高橋浩太郎）採用的生成式AI SOC服務「BRIDGED PURPLE SOC」選為核心組件。該服務主打「Purple Team」模式，透過生成式AI將防禦端（藍軍）與攻擊端（紅軍）緊密結合，並導入『LogEater』作為結合Elastic Security SIEM功能的日誌分析引擎。相較於單獨使用Elastic Security建置日誌基礎設施，此混合架構可將日誌成本壓縮約1/2，在實現成本最佳化的同時，也消除了SOC分析師高昂的學習成本與過度依賴個人經驗的問題，進而提供全天候24/365的穩定SOC服務。

◾️ 導入背景：SOC服務供應商面臨的兩大結構性挑戰

隨著網路攻擊日益複雜且偵測範圍不斷擴大，SOC服務供應商必須維持24/365的穩定營運品質，但同時也面臨營運成本暴增以及分析人才招募與培訓的結構性難題。

首先是SOC營運成本的優化。SIEM產品除了授權費之外，用於儲存日誌的空間費用，以及支援搜尋與分析的運算基礎設施費用都很容易不斷攀升。維持全天候運作的分析師團隊，以及對新進人員的持續培訓，對服務供應商來說也是沉重負擔。特別是為了符合長期日誌保存規範所產生的儲存成本，更嚴重壓縮了服務的獲利空間。這導致許多原本深具分析價值的通訊日誌（如防火牆、代理伺服器、VPC Flow Logs等），因授權與儲存成本的考量而被迫放棄匯入SIEM。

其次是掌握進階日誌分析技術與累積知識的困難度。不同的SIEM產品需要學習如SPL（Search Processing Language）或ES|QL（Elasticsearch Query Language）等專屬查詢語言，要能設計並開發出高效率的查詢指令需要花費大量時間。此外，對於各類日誌欄位結構的理解，以及針對不同攻擊模式的分析技巧，往往高度依賴分析師個人的經驗，難以標準化並轉化為組織資產傳承下去。

在BRIDGED籌備全新SOC服務時，解決這兩大挑戰正是服務設計上最重要的核心命題。

◾️ BRIDGED選擇『LogEater』的理由

在評估BRIDGED PURPLE SOC的日誌分析引擎時，BRIDGED全面比較了單一SIEM架構、多種日誌管理解決方案以及生成式AI產品，最終決定採用『LogEater』。關鍵考量因素如下：

第一是透過Elastic Security與『LogEater』的混合架構，實現日誌平台整體成本的最佳化。由於『LogEater』可透過Elasticsearch MCP Server與Elastic Cloud連接，因此能打造出將即時偵測所需的當日日誌留在Elastic Security處理，而其他需長期保存的日誌則集中至『LogEater』資料倉儲的混合設計。憑藉超高壓縮技術，『LogEater』資料倉儲能以媲美封存儲存層的低廉成本，實現長期的日誌保存。

第二是藉由生成式AI的日誌分析功能，大幅降低SOC分析師的學習門檻。使用者不需學習SPL或ES|QL等專屬查詢語言，只需以自然語言（日文）提問，即可完成日誌分析與視覺化報表生成。此外，基於Anthropic Claude技術的最先進生成式AI模型，已內建豐富的網路安全與日誌分析專業知識，不僅能輔助資深分析師進行判斷，更能讓新進分析師在短時間內快速投入實際營運作業。