安全牛：智能化安全运营中心应用指南（2025版）（135页）.pdf

《安全牛：智能化安全运营中心应用指南（2025版）（135页）.pdf》由会员分享，可在线阅读，更多相关《安全牛：智能化安全运营中心应用指南（2025版）（135页）.pdf（135页珍藏版）》请在三个皮匠报告上搜索。

1、版权声明本报告为北京谷安天下科技有限公司（以下简称“本公司”）旗下媒体平台安全牛研究撰写，报告中所有文字、图片、表格均受有关商标和著作权的法律保护，部分文字和数据采集于公开信息，所有权为原著者所有。未经本公司书面许可，任何组织和个人不得将本报告内容作为诉讼、仲裁、传媒所引用之证明或依据，不得用于营利或用于未经允许的其他用途。任何未经授权的商业性使用本报告的行为均违反中华人民共和国著作权法及其他相关法律法规、国际条约。未经授权或违法使用者需自行承担由此引发的一切法律后果及相关责任，本公司将依法追究。免责声明本报告仅供本公司的客户或公司许可的特定用户使用。本公司不会因接收人收到本报告而视其为本公司

2、的当然客户。任何非本公司发布的有关本报告的摘要或节选都不代表本报告正式完整的观点，一切须以本公司发布的本报告完整版本为准。本报告中的行业数据主要为分析师市场调研、行业访谈及其他研究方法估算得来，仅供参考。因调研方法及样本、调查资料收集范围等的限制，本报告中的数据仅服务于当前报告。本公司以勤勉的态度、专业的研究方法，使用合法合规的信息，独立、客观地出具本报告，但不保证数据的准确性和完整性，本公司不对本报告的数据和观点承担任何法律责任。同时，本公司不保证本报告中的观点或陈述不会发生任何变更。在不同时期，本公司可发出与本报告所载资料、意见及推测不一致的报告。本报告所包含的信息及观点不构成任何形式的投

3、资建议或其他行为指引，亦未考虑特定用户的个性化需求或投资目标。用户应结合自身实际情况独立判断报告内容的适用性，必要时应寻求专业顾问意见。报告中涉及的评论、预测、图表、指标、理论等内容仅供市场参与者及用户参考，用户需对其自主决策行为负责。本公司不对因使用本报告全部或部分内容所产生的任何直接、间接、特殊及后果性损失承担任何责任，亦不对因资料不完整、不准确或存在任何重大遗漏所导致的任何损失负责。关键发现.4引言.6第一章背景概述1.1 当前网络安全威胁的趋势.81.2 网络安全政策法规要求.91.3 传统 SOC 的挑战.12第二章 ISOC 概念和能力2.1SOC 的升级演变.142.2ISOC

4、的理念.162.3ISOC 的能力框架.182.4ISOC 的必要性.19第三章 ISOC 的关键技术3.1ISOC 的工作原理和发展.223.2ISOC 的技术架构.243.3ISOC 的基础技术.253.4ISOC 的智能核心（AI 智能体）.30第四章 ISOC 的典型应用场景contents目录4.1 风险识别.344.2 威胁检测与研判.374.3 事件响应.414.4 运营管理.444.5 知识问答和专家辅助.47第五章国内外 ISOC 发展现状5.1 国外 ISOC 应用现状.495.2 国内 ISOC 市场应用现状.545.3 国内技术和应用现状.57第六章 ISOC 的建

5、设指南6.1 能力成熟度模型.716.2 组织的 ISOC 建设原则.746.3 不同成熟度组织的 ISOC 建设方案.766.3.1 初始级升级到管理级.766.3.2 管理级升级到自动化级.786.3.3 自动化级升级为智能辅助级.826.3.4 智能辅助级升级为自主级.876.4 中小型组织 ISOC 建设方案.896.5 ISOC 在各行业的解决方案.896.6 常见实施问题和建议.93第七章 ISOC 优秀案例研究（按厂商首字母排序）7.1 典型案例一某金融机构安全运营平台升级案例（绿盟科技提供）.977.2 典型案例二某省级应急管理厅安全运营平台建设案例（奇安信提供）.1007

6、.3 典型案例三某省电力公司安全运营建设案例（亚信安全提供）.1037.4 典型案例四某能源头部企业一体化网络安全监管平台（神州泰岳提供）.1077.5 典型案例五某电网公司智能安全运营解决方案（碳泽提供）.110第八章推荐厂商（按厂商首字母排序）推荐厂商绿盟科技.112推荐厂商奇安信.114推荐厂商神州泰岳.118推荐厂商碳泽.120推荐厂商亚信安全.121第九章挑战与未来9.1 目前面临的挑战.1259.2 未来发展.1284智能化安全运营（智能化安全运营（ISOCISOC）已成为企业提升安全能力的必然选择。）已成为企业提升安全能力的必然选择。国内市场需求强劲。据安全牛 2025

7、年调研显示，国内多数组织（90%）对 ISOC 的未来发展持乐观态度，目前已有 39%的组织正在开展或测试 ISOC的实施，尚未实施的组织中，49%的组织计划在一年内进行相关采购，ISOC 市场拥有巨大的增长潜力。厂商格局多元化厂商格局多元化，生态合作趋势显现生态合作趋势显现。ISOC 市场参与者包括综合安全厂商、SOAR/XDR 厂商、云服务商、运营商、AI 创新公司等，市场竞争激烈。由于技术复杂性和数据需求，单一厂商难以提供完整的解决方案，未来技术合作、产品集成、威胁情报共享等生态合作模式将成为主流趋势。AIAI 技术深度赋能技术深度赋能，应用百场景花齐放应用百场景花齐放。AI 技术正深

8、度渗透并占领安全运营的各个环节，从风险识别、威胁检测、事件分析、响应到安全管理和报告生成。国内安全厂商积极探索 AI 在不同场景的应用创新，利用大语言模型（LLM）和 AI Agent 等技术，在智能问答、告警降噪、威胁情报分析、自动化响应、报告生成等方面取得了初步成果，呈现百花齐放的态势。智能化降本增效应用效果初见成效智能化降本增效应用效果初见成效。ISOC 的应用已在国内多个案例中开展取得显著成效。部分案例实现告警降噪能力大幅提升（部分案例降噪率80%）、告警准确率提升（部分案例提高80%）、安全事件分析效率显著提高（部分场景提升80%）、事件响应时效大幅加强（缩短至分钟级甚至秒级）、数据

9、分类分级能力显著提升（部分案例识别准确率90%）、安全事件处理效率大幅提高（部分案例单日工作成果提升数倍）、运营管理成本下降（部分场景成本节约50%）。“大模型大模型+基础基础 AIAI 技术技术”混合架构成为主流。混合架构成为主流。为兼顾通用知识推理能力与特定安全任务的专业性和效率，国内普遍采用“大模型+基础 AI 技术”的混合 AI 架构。大模型（如 LLM）擅长自然语言交互、复杂推理、知识问答和生成全局视角和智能辅助；基础 AI 技术（基于机器学习/深度学习）则侧重于具体的威胁检测、异常识别等任务，提供快速、准确的执行能力。两者协同工作，实现优势互补，成为当前 ISOC 建设的主流技术路

10、线。AIAI AgentAgent 是关键发展方向，但尚处于初步阶段。是关键发展方向，但尚处于初步阶段。AI Agent 具备自主决策、认知、行动、学习的能力，在自动化响应、智能分析、主动防御等方面潜力巨大。国内厂商已开始探索 AI Agent 在告警关联、溯源调查、事件响应造成等场景的应用。但是基于数据分析的主动威胁防御能力的高质量 AI Agent 在国内安全运营中心的应用仍在早期研究和实验阶段，技术成熟度、数据质量、可解释性和可信度有待提升。人机协同是核心运营模式。人机协同是核心运营模式。ISOC 并非旨在完全取代人工，而是强调 AI 与安全分析师的协同工作。AI 负责关键发现5重复可自

11、动完成的任务，分析师则专注于复杂决策、威胁研判、策略制定和 AI 监督与训练。安全分析师的角色正经历从“传统分析工程师”向“AI 训练师”和“AI 监督员”转变，需要具备新的知识和技能，人机之间的信任和有效交互是 ISOC 成功的关键。安全运营自动化水平迈向新的高度安全运营自动化水平迈向新的高度：在 AI Agent 和 SOAR 平台的双重驱动下，安全运营自动化正从基于规则的机械式自动化向智能自动化、认知自动化方向推进，并能够覆盖更广泛的安全运营流程，并实现更智能、灵活的响应。数据驱动理念深化，数据治理成为关键。数据驱动理念深化，数据治理成为关键。数据是人工智能和自动化的基础，构建安全数据湖

12、、加强数据治理（包括数据清洗、标准化、标注、安全与隐私保护等）成为 ISOC 建设的关键环节，以确保为标准化分析提供高质量的数据支撑。云化与云化与 SaaSSaaS 化加速智能化安全运营普及。化加速智能化安全运营普及。为降低成本、提高灵活性和解决人才需求，越来越多的企业选择云化或 SaaS 化的 ISOC 解决方案。云原生 ISOC 和 AI 赋能的安全托管服务（MSSP）成为市场的重要增长点。量化管理成为核心诉求。量化管理成为核心诉求。安全运营正从定性方向定量，建立与业务目标一致的、可测量的指标体系，并通过 AI 进行分析和优化。以直观的安全运营效果驱动决策并展示价值，成为 ISOC 建设的

13、重要目标。ISOCISOC 落地仍面临一定挑战落地仍面临一定挑战。国内 ISOC 的普及仍面临一定的挑战，主要包括人工智能模型的准确性与误报率、数据质量、系统集成复杂度、人工智能可解释性与可信度、复合人才缺乏、建设与运维成本以及安全运营流程的调整等。实施策略应聚焦小场景，小步快跑是关键。实施策略应聚焦小场景，小步快跑是关键。成功的 ISOC 建设需要明确的业务目标，从解决实际痛点的小场景入手，采用分阶段、迭代式的方法，快速验证效果，逐步扩大应用范围，并重视数据治理和人才培养。6在全球数字化转型的浪潮中，云计算、大数据、人工智能、物联网等新兴技术正深刻重塑着企业的运营模式和商业格局。这场变革在释

14、放巨大潜力的同时，也带来了前所未有的网络安全挑战。企业的 IT 环境日益复杂化，云服务与物联网设备的广泛应用使传统网络边界模糊，扩大了攻击面。与此同时，网络攻击手段不断升级，高级持续性威胁（APT）、零日漏洞利用、勒索软件攻击以及大规模数据泄露事件频发，攻击目标更明确，破坏性更强。数据作为核心资产，其安全风险尤为突出，数据泄露、滥用等事件不仅造成严重的经济损失，并引发严重的声誉危机。与此同时，全球范围内对网络安全和数据保护的监管日趋严格，国内的中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法等法律法规，以及欧盟的通用数据保护条例（GDPR）等法规标准，都对企业提

15、出了更高的合规要求。面对这些严峻挑战，传统的安全运营中心（SOC）表现出一定的局限性。传统 SOC 主要依赖人工分析和基于规则的检测方法，在应对当前复杂多变的网络安全威胁时，面临诸多瓶颈：海量告警数据中无法发现真正威胁，并导致“告警疲劳”；安全事件的分析和响应主要依赖人工，效率低下且响应速度慢；各类安全设备和系统之间缺乏有效集成，形成“数据孤岛”，难以共享信息、协同防御；同时，传统 SOC 往往缺乏主动发现潜在威胁和预测风险的能力。为了有效应对这些挑战，智能化安全运营中心（ISOC）应运而生。ISOC 并非对传统 SOC 的简单替代，而是其全面的智能化升级和能力增强。ISOC 以数据驱动和 A

16、I 赋能为核心，深度融合人工智能（特别是大语言模型、AI 智能体等先进技术）、大数据分析、安全编排与自动化（SOAR）等技术，并强调人机协同的运营模式。其目标是实现对安全威胁的更高效、更准确、更主动、更智能的检测、分析、响应和预防，致力于构建一个能够全面感知安全态势、智能分析研判威胁、自动化响应处置事件、持续学习优化提升、人机协同高效运营，并最终实现自适应安全防御的智能化安全运营体系。ISOC 的建设能够为企业带来多方面的价值提升。它通过 AI 技术显著增强威胁检测能力，有效识别未知威胁、高级威胁和异常行为，降低误报和漏报。在事件分析方面，ISOC 能够自动化进行事件关联、根本原因分析、攻击路

17、径还原，提供更深入、更全面的调查视角。借助 SOAR 平台和 AI Agent，可以实现自动化响应，大幅缩短应急响应时间。此外，ISOC 利用威胁情报和 AI 预测技术，实现从被动响应向主动防御的转变，并根据威胁态势动态调整防御策略。同时，基于 AI 的风险评估和策略优化建议，以及自动化安全报告，ISOC 支持更科学的数据驱动决策。最终，通过人机协同，AI 成为安全分析师的得力助手，将其从繁琐的基础工作中解放出来，专注于更复杂、更有价值的安全任务。引言7目前，国内 ISOC 的发展正处于起步加速阶段。政策支持、市场需求、技术进步等多重因素共同推动着 ISOC的发展。金融、运营商、政府、能源等行

18、业已成为 ISOC 应用的先行者。国内安全厂商亦纷纷布局 ISOC 领域，并推出了一系列 AI 赋能的安全运营产品和解决方案。展望未来，ISOC 将朝着 AI 深度赋能、自动化水平持续提升、数据驱动体系完善、应用场景扩展深化、人机协同模式优化、平台开放集成、云化与 SaaS 化加速、运营指标化管理、生态合作深化、安全效果可验证以及信创与国产化等方向持续演进。本报告旨在为国内企业提供一份全面、深入、实用的 ISOC 建设和应用指南。报告将首先概述 ISOC 的基本概念、发展历程、核心价值，分析当前网络安全形势，阐明 ISOC 建设的必要性。随后，报告将详细介绍 ISOC的关键技术，如 AI 智能

19、体、大数据分析、SOAR 等，并深入探讨 AI Agent 技术在 ISOC 中的应用。在此基础上，本报告将指导企业如何规划、设计、构建和运营 ISOC，分析 ISOC 在国内各行业的应用案例，评估并推荐优秀的国内 ISOC 市场的主要参与者。最后，本报告将展望 ISOC 未来的发展方向和挑战。通过本报告，我们希望能够帮助企业更好地理解、规划、落地和应用 ISOC 技术，显著提升安全运营能力，共同构建更加安全、智能的网络空间。第一章背景概述8第一章第一章背景概述背景概述当今全球企业正以前所未有的速度拥抱数字化转型，云计算、大数据、人工智能、物联网等新兴技术蓬勃发展，深刻地重塑着各行各业的生

20、产方式、运营模式和商业价值链。这场深刻的变革在带来巨大发展机遇的同时，也伴随着日益严峻且复杂多变的网络安全挑战。企业的 IT 环境变得空前复杂，云服务、移动办公、物联网设备等的广泛应用使得传统网络边界日益模糊，攻击面显著扩大。与此同时，网络攻击技术和工具也在持续升级，高级持续性威胁（APT）攻击已成为常态，勒索软件攻击持续演变且破坏性增强，针对关键基础设施和供应链的攻击日益增多，数据泄露事件频发，不仅给企业造成巨大的经济损失，更严重损害企业声誉和客户信任。在此背景下，全球各国政府和监管机构对网络安全和数据保护的重视程度不断提高，纷纷出台并完善相关法律法规和行业标准，例如中国的中华人民共和国网络

21、安全法中华人民共和国数据安全法中华人民共和国个人信息保护法等法律法规，以及欧盟的 GDPR 等，使得企业面临着日益严格的合规压力。1.11.1当前网络安全威胁的趋势当前网络安全威胁的趋势当前网络安全领域正面临多重严峻挑战，其威胁趋势呈现出高级化、广泛化、智能化和产业化等特点，对传统的安全防御体系提出了严峻考验，迫使组织必须构建更加主动、智能和自适应的安全防御体系。当前网络安全威胁的趋势1.1.11.1.1 网络安全威胁高级化、广泛化网络安全威胁高级化、广泛化网络安全威胁的形态日趋高级化和广泛化。高级持续性威胁（APT）攻击已成为常态，越来越多的组织，特别是政府部门、金融机构、高科技企业和关键基

22、础设施，都成为 APT 的攻击目标，这些网络威胁具有明确目标、长期潜伏、技术先进的专业攻击组织等特点。这些攻击往往悄无声息地窃取核心机密或破坏关键系统，造成难以估量的损失。同时，攻击范围已从传统的 IT 基础设施，扩展到更为脆弱的云计算环境、物联网（IoT）设备和工业控制系统（ICS）等新兴领域，云环境的复杂性、物联网设备的多样性和防护薄弱、工控系统的特殊性都为攻击者提供了新的攻击向量和更多的攻击面。第一章背景概述91.1.21.1.2 攻击威胁技术和工具持续升级攻击威胁技术和工具持续升级攻击威胁技术和工具持续升级，呈现更加智能化和高效趋势。AI 技术的快速发展被攻击者利用，生成式 AI和自

23、动化工具被用于快速生成复杂且高度个性化的攻击载荷，例如仿真度极高的钓鱼邮件、能够规避检测的多态恶意软件以及用于社会工程学攻击的深度伪造音视频。这使得攻击的规模更大、速度更快，并且更能绕过传统的安全防护措施。勒索软件攻击持续演变，从简单的文件加密发展到数据窃取、威胁公开的双重甚至三重勒索策略，结合勒索软件即服务（RaaS）模式，攻击门槛不断降低。供应链攻击也日益猖獗，攻击者利用供应链中的薄弱环节进行渗透，影响范围广、破坏力巨大，且难以被及时发现。1.1.31.1.3 网络环境复杂，范围边界模糊网络环境复杂，范围边界模糊随着组织数字化转型的不断深化，企业 IT 环境日益复杂，网络边界愈发模糊。同时

24、，数字化转型的深入和新技术的广泛应用，越来越多的组织纷纷将业务迁移到云端，使得企业的 IT 环境规模和复杂性迅速增加，传统基于边界的安全防护理念失效。海量的安全数据（包括日志、流量、终端行为、用户行为等）从各种异构的设备和系统中涌现，远超人工分析能力。特别是云计算的普及和物联网设备的大规模应用，产生了新的数据源和安全风险，对安全数据的有效收集、处理和分析提出了更高要求。1.1.41.1.4 威胁事件频发，安全形势严峻威胁事件频发，安全形势严峻国内网络安全事件频发，安全形势依然严峻。近年国内网络安全事件频发，给企业和组织带来了巨大的经济损失和严重的社会影响，甚至引发法律纠纷和监管处罚。这些安全事

25、件使企业意识到必须持续提升网络安全防护能力。例如，2022 年 6 月 22 日，国内某大学遭受境外网络攻击。经调查，攻击源头被锁定为美国某组织，该组织使用 41 种专属网络攻击武器，对西北工业大学发起上千次攻击，窃取超过 140GB 的高价值数据，包括关键网络设备配置、网管数据和运维数据等。攻击过程中，该组织还非法渗透中国境内电信基础设施，构建远程访问“合法”通道，窃取用户隐私数据。例如，2020 年 2 月 23 日，国内某集团研发中心运维部核心运维人员因个人生活不满等原因，通过 VPN 登录公司服务器，删除线上业务数据。该事件导致该集团 SaaS 业务瘫痪，300 万商户受影响，公司直接

26、经济损失达 2260 余万元。贺某最终被判处有期徒刑六年。1.21.2网络安全政策法规要求网络安全政策法规要求面对日益严峻的网络安全形势，全球各国政府和监管机构都在不断完善网络安全相关的法律法规、标准和政策，对企业的安全运营能力提出了更高的要求，这也成为推动 ISOC 发展的重要外部驱动力，推动组织提升安全运营中心的安全事件检测、响应和执行能力、主动防御和智能化等能力。第一章背景概述10网络安全法律法规和政策要求1.2.11.2.1 国际网络安全政策法规要求与安全运营的发展国际网络安全政策法规要求与安全运营的发展近年来，各国对网络安全的重视程度不断提高，各国纷纷出台一系列网络安全法律法规、监

27、管要求和政策，这些都对安全运营的发展起到重要的推动作用。欧盟通用数据保护条例（GDPR）：GDPR 对个人数据的收集、处理、存储和泄露提出严格的要求，要求组织采取必要的技术和组织措施来保护个人数据的安全，GDPR 推动组织对数据安全和隐私保护的重视。同时，GDPR 要求组织在发生数据泄露事件后及时通知监管机构和出行人员，这也推动组织加强安全事件的检测和响应能力，而这也是 ISOC 的核心能力之一。美国国家网络战略：国家网络战略要求将提升国家网络安全能力作为重要目标，强化加强网络安全信息共享、公私合作、主动防御等，该战略推动美国和组织加强安全运营中心的建设，并积极采用威胁情报、自动化安全响应等先

28、进技术，提升安全运营的效率和效果。ISOC 的建设与该战略的目标高度契合。美国国防授权法案（NDAA）：对美国的网络安全能力建设提出明确的要求，包括提升网络安全设备、威胁情报分析、安全事件响应等能力。NDAA 推动美国加强安全运营中心的建设，并积极采用人工智能、大数据分析等先进技术，提升安全运营的智能化水平。ISO27000 中要求应确保快速、有效、一致和有序地响应信息安全事件，确保对信息安全事件进行有效分类和优先排序，并确保高效、有效地应对信息安全事件，以及减少未来事件的可能性或后果。1.2.21.2.2 国内网络安全政策法规要求与安全运营的发展国内网络安全政策法规要求与安全运营的发展第一章

29、背景概述11我国高度重视网络安全工作，已初步构建起较为完善的网络安全法律法规和政策体系，不断提高网络安全监管力度，为网络安全体系化提供政策保障和指导。1 1）国家战略层面）国家战略层面习近平总书记在网络安全和信息化工作座谈会上的讲话内容，要求加快构建关键信息基础设施安全保障体系，增强网络安全防御能力和威慑能力。中网办发文20174 号国家网络安全事件应急预案建立健全网络安全应急协调和通报工作机制，与各地区、各部门建立网络安全应急响应机制，及时汇集信息、监测预警、通报风险、响应处置，构建起“全国一盘棋”的工作体系。中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要着重

30、强化数字经济安全体系，包括增强网络安全防护能力、切实有效防范各类风险。表明，组织和企业需要的安全已不再只是合规，而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。党的二十届三中全会审议通过中共中央关于进一步全面深化改革、推进中国式现代化的决定聚焦建设更高水平平安中国，健全国家安全体系，强化一体化国家战略体系，增强维护国家安全能力，创新社会治理体制机制和手段，有效构建新安全格局。2 2）法律法规层面）法律法规层面中华人民共和国网络安全法明确了网络运营者的安全保护义务，要求有效应对网络安全事件。如要求采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络

31、处于稳定可靠运行，包括有效应对网络安全事件，和安全监测预警和事故处置。关键信息基础设施安全保护条例对关键信息基础设施的范围和保护要求进行了细化。如应重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏。3 3）国内监管部门要求举措）国内监管部门要求举措行业监管层面，中国人民银行、国家能源局等部门针对金融、电力等行业发布了具体的网络安全运营指引和管理办法，提出了更具行业特色的安全要求。中国人民银行 2020 年发布金融行业网络安全等级保护实施指引，要求金融机构应能够在统一安全策略下防护免受来自外部的威胁源发起的恶意攻击

32、、能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。国家能源局 2022 年发布电力行业网络安全管理办法，建立健全网络安全保障体系和工作责任体系，提高网络安全防护能力，保障电力系统安全稳定运行和电力可靠供应，对网络安全事件进行调查和评估，采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，向有关主管部门报告。4 4）鼓励创新鼓励创新此外，国家还积极鼓励技术创新和应用试点。工信部、网信办等部门组织的网络安全技术应用试点示范工作，为 ISOC 的发展创造了良好的政策环境。证监会 2023 年发布证券期货业信息安全运营管理指南，指导行业机构建立完善的安全运营体

33、系第一章背景概述12和流程，规范信息安全运营管理过程，推动相关安全措施的有效实施和持续改进。2022 年，工信部、国家网信办等十二部门近日联合印发通知，组织开展网络安全技术应用试点示范工作，从云安全、人工智能安全、大数据安全、网络安全等“高精尖”技术创新平台 9 个重点方向，推动技术先进、应用成效显著的试点示范项目。2023 年，工业和信息化部等十四部门近日联合印发关于开展网络安全技术应用试点示范工作的通知，以新型信息基础设施安全、数字化应用场景安全、安全基础能力提升为主线，遴选一批技术先进、应用成效显著的试点示范项目。1.31.3 传统传统 SOCSOC 的挑战的挑战安全运营中心（SOC

34、）作为企业安全运营的核心，通常结合技术、流程和人员能力，通过对安全威胁的检测、分析和事件响应，满足组织对安全风险管控的要求。然而，面对日益复杂和不断升级的安全威胁，以及企业 IT 环境的快速变化，传统的 SOC 运营模式正面临着严峻的挑战，安全运营亟须向智能化、自动化、主动化转型。传统 SOC 的挑战主要的挑战包括：主要的挑战包括：1 1）运营效率低下，人工处理瓶颈凸显）运营效率低下，人工处理瓶颈凸显传统 SOC 严重依赖人工处理海量告警和日志。面对爆炸式增长的数据量和复杂的攻击手法，人工分析效率低下，响应速度缓慢。大量的误报和低价值告警消耗了安全分析师大量精力，导致“告警疲劳”，真正的高危威

35、胁反而容易被淹没。同时，网络安全人才特别是具备高级分析能力的安全专家严重短缺，使得人力成为制约安全运营效率和效果的关键瓶颈。2 2）数据价值挖掘不足，缺乏全局视角）数据价值挖掘不足，缺乏全局视角传统 SOC 往往存在“数据孤岛”问题，来自不同安全设备和系统的数据分散存储，缺乏有效的整合和关联分析手段。安全分析师难以从海量、异构的数据中快速提取有价值的信息，无法形成对安全态势的全面、深入理解，更难以进行主动的威胁狩猎和风险预测。第一章背景概述133 3）高级威胁应对能力不足）高级威胁应对能力不足传统 SOC 主要依赖基于规则和签名的检测方法，对于不断变种的恶意软件、0-day 漏洞攻击、无文件

36、攻击、APT 攻击等高级威胁和未知威胁的检测能力严重不足，导致防御体系容易被突破。威胁情报的利用也往往停留在简单的 IOC 比对层面，难以深入理解攻击者的 TTP 和意图，无法实现有效的威胁溯源和精准防御。4 4）缺乏主动性和适应性）缺乏主动性和适应性传统 SOC 以被动响应为主，难以主动发现潜藏的威胁。安全策略和检测规则通常是静态配置的，更新滞后，无法根据威胁态势的变化进行动态调整，缺乏对新型攻击手法的适应性。5 5）与业务脱节，价值难以衡量）与业务脱节，价值难以衡量传统 SOC 往往独立于业务部门运作，安全策略与业务需求可能存在冲突。安全运营的效果难以量化评估，安全部门常被视为成本中心，其

37、对业务的价值贡献难以清晰展现，导致安全投入难以获得充分的理解和支持。14第二章 ISOC 概念与能力第二章第二章 ISOCISOC 概概念和能力念和能力随着网络安全威胁的日益复杂和企业数字化转型的深入，传统安全运营中心（SOC）的业务边界正在不断拓展，不仅需要应对层出不穷的网络攻击，还需满足日益严格的数据安全与合规要求。这些内外部挑战使得传统的、依赖经验驱动的 SOC 运营模式难以为继，亟须向数据驱动、AI 赋能的智能化安全运营中心（ISOC）转型。ISOC 通过利用 AI 技术提高安全运营效率，并对运营进行量化管理，最终实现安全业务价值的最大化。本章将深入探讨 ISOC 的演进历程、核心理念

38、、关键特征、目标、能力框架以及其建设的必要性。2.12.1SOCSOC 的升级演变的升级演变安全运营中心的发展是一个持续演进的过程，受到业务需求扩展和技术进步的双重驱动。在业务范围层面，SOC 的业务范围从最初聚焦于安全事件的研判分析、响应调查，逐步向更广泛的领域延伸，涵盖了全面的风险管理（包括资产、漏洞、配置、攻击面等）、数据安全治理、供应链安全评估、合规性管理以及安全运营效果的量化管理等。SOC 的业务范围扩展能力发展方面，SOC 从单点防御到合规驱动，再到实战驱动，最终走向数据驱动、AI 赋能的智能化阶段。15第二章 ISOC 概念与能力SOC 的能力升级第一阶段：单点防御阶段（第一阶段

39、：单点防御阶段（20002000 年前）年前）随着互联网的初步发展，早期安全威胁主要以病毒、蠕虫等为主，安全防护主要依靠部署防火墙、杀毒软件等单点安全产品进行防御，安全运营以事件驱动、人工分析为主，难以应对规模化攻击。阶段特点：阶段特点：单点防御，事件驱动：主要依靠的单一安全产品（如防火墙、杀毒软件、IDS）进行点状防御，缺乏整体的安全防护体系。安全运营主要以监控响应为主，针对单一安全事件进行处置，缺乏对安全事件的关联分析和深入排查。关注具体威胁：主要关注恶意软件（如病毒、蠕虫）和单点网络事件（如端口扫描、DoS 攻击），对攻击的整体性和关联性关注不足。第二阶段：合规驱动的安全运营（第二阶段：

40、合规驱动的安全运营（2007200720152015 年）年）随着网络攻击的复杂化和规模化，以及为满足等级保护等法规要求，企业开始大量部署安全产品，SIEM 平台应运而生，但产品间缺乏联动，“告警噪音”激增，对高级威胁防御能力不足。阶段特点：阶段特点：安全产品堆叠：组织开始大量部署各种安全产品，例如防火墙、IDS/IPS、WAF、防病毒软件、VPN 等，但这些产品往往缺乏有效地集成和联动，形成“安全孤岛”。合规驱动：安全建设的主要驱动力是满足各种安全法规和标准的要求，例如等级保护制度等。大量“噪音”急剧增加：各种安全设备产生大量的相关信息，其中大部分是误报，安全分析师难以全面识别出真正的威胁，

41、导致告警疲劳。第三阶段：实战驱动的安全运营（第三阶段：实战驱动的安全运营（20152015 年左右至年左右至 20222022 年左右）年左右）16第二章 ISOC 概念与能力随着等保等合规的建设推进，组织已经完成安全基础设施的建设。面对 APT 攻击、0-day 漏洞等高级威胁，企业开始关注安全运营的实际效果，SOAR、UEBA 等技术兴起，安全运营向主动防御转变，但仍高度依赖安全专家经验。阶段特点：阶段特点：关注实战效果：组织开始关注安全运营的实际效果，而不仅仅是满足合规性要求。安全建设从合规驱动转向实战驱动。主动防御：组织开始重视主动防御，例如威胁情报、威胁狩猎、欺骗防御等。安全能力的整

42、合：出现 XDR 等新的安全概念，尝试整合各个安全产品能力，形成统一的安全防御体系。第四阶段：数据驱动、第四阶段：数据驱动、AIAI 赋能的智能安全运营（赋能的智能安全运营（20222022 年至今）年至今）随着人工智能技术的快速发展和安全大数据应用的成熟，安全运营迈入了数据驱动、AI 赋能的智能化阶段，ISOC 成为核心概念，通过大数据、AI 技术（特别是大模型和 AI Agent）实现威胁检测、事件分析、响应处置、威胁狩猎等环节的自动化和智能化，构建人机协同、持续进化的主动防御体系，以更高效、更智能的方式应对复杂多变的网络安全威胁。阶段特点：阶段特点：数据驱动：以数据为核心，构建安全数据湖

43、，为安全分析提供全面的数据支撑。AI 赋能：广泛应用 AI 技术提升安全运营的智能化水平。AI 智能体作为 ISOC 的“智慧大脑”，协调各个安全平台，提供智能化的决策支持。自动化：实现安全运营流程的自动化。关注效果和效率：不仅关注安全防护的效果，还关注安全运营的效率和成本。量化管理：建立量化的安全指标，对安全运营体系的效果进行量化和评估。2.22.2ISOCISOC 的理念的理念智能化安全运营中心（ISOC）的核心理念是以数据驱动和 AI 赋能为双引擎，构建人机协同、持续进化的主动防御体系，实现安全运营的自动化、智能化和自适应，并最终将安全运营与业务目标深度融合。理念强调数据是 AI 模型训

44、练和优化的基础，为 AI 赋能提供高质量的数据支撑，从而提升智能化水平；反过来，AI 赋能又通过增强数据处理和分析能力（如提升数据质量、整合更丰富的情报数据），并结合安全专家的经验，实现更精准的决策。17第二章 ISOC 概念与能力ISOC 的理念示意图1 1）ISOCISOC 的主要特点的主要特点ISOC 的主要特点体现在其对传统 SOC 能力的全面增强。具备更广泛和深入的数据感知能力，集成多源异构数据，提供事件的全面上下文；拥有更智能的威胁检测能力，应用 AI 技术准确识别已知未知威胁，降低误报漏报；实现更自动化的事件响应，通过 SOAR 和 AI Agent 缩短响应时间；具备更强大的数

45、据分析能力，利用大数据和 AI 模型进行深度分析；构建更主动的防御能力，利用威胁情报、AI 预测、威胁狩猎等实现事前预防；倡导更高效的人机协同，AI 辅助分析决策，分析师专注于复杂威胁研判；拥有更持续的优化能力，利用 AI 模型的自学习能力实现安全运营体系的持续进化。2 2）ISOCISOC 的主要目标的主要目标ISOC 的主要目标是多维度的。致力于提高安全运营效率，通过 AI 驱动的检测和自动化响应缩短 MTTD 和 MTTR；降低安全运营成本，通过自动化减少对安全专家的依赖，降低人力成本，并通过精准防御减少安全事件损失；18第二章 ISOC 概念与能力增强威胁检测和响应能力，有效应对未知威

46、胁、高级威胁和异常行为；构建主动防御体系，利用威胁情报、AI 预测等技术，实现从事后响应到事前预防的转变；实现数据驱动的安全决策，利用 AI 对安全数据进行深度分析，提供科学决策依据；实现安全投资价值最大化，通过高效运营提升安全防护水平。2.32.3ISOCISOC 的能力框架的能力框架ISOC 的核心能力是依托安全数据和 AI 技术，深度赋能安全运营的各个环节，构建以数据驱动、AI 赋能、自动化响应为特征的新一代安全运营体系。AI 增强的安全运营中心能力框架1 1）AIAI 赋能的风险识别能力赋能的风险识别能力ISOC 通过广泛利用 AI 技术，在风险识别方面实现显著增强，从事后补救转向事前

47、预防。这包括智能化的资产管理，利用 AI 自动发现、分类、评估资产风险，并构建资产关系图谱；持续的暴露面管理，利用 AI 自动化进行漏洞扫描、渗透测试、配置核查，并智能排序漏洞优先级，提供修复建议；以及深入的风险评估，利用AI 结合威胁情报、业务环境等因素，进行全面的、动态的风险评估和预测。2 2）AIAI 赋能的威胁检测与研判能力赋能的威胁检测与研判能力ISOC 通过 AI 技术，显著增强了威胁检测的准确性、效率和覆盖范围，特别是在未知威胁和高级威胁检测方面。这包括利用 AI 进行智能化的告警筛选与分诊，快速识别高优先级事件，降低告警噪音；通过 AI 驱动的异常检测（如 UEBA、NDR/N

48、TA）学习正常行为模式，识别未知威胁和零日攻击；以及应用 AI 算法进行智能化19第二章 ISOC 概念与能力的事件分析研判，深度挖掘事件关联性、构建攻击链路、还原攻击场景、预测攻击意图，为响应处置提供决策支持。3 3）AIAI 赋能的自动化响应能力赋能的自动化响应能力ISOC 通过深度整合自动化与智能化技术，实现了对安全事件的快速、精准、高效处置，显著缩短响应时间（MTTR）并最大限度减少损失。包括智能化的事件分级与优先级排序，确保关键威胁优先处理；AI 驱动的事件分析研判，为响应决策提供关键支撑；自动化响应编排，通过 SOAR 平台和 AI Agent，根据分析结果或预定义策略，自动化执行

49、响应剧本；以及 AI 提供专家辅助决策，为安全分析师推荐最佳响应策略，甚至自动生成响应剧本，并支持通过人机协同不断优化。4 4）AIAI 赋能的数据驱动能力赋能的数据驱动能力ISOC 的数据驱动，核心在于将海量、多源的安全数据转化为可行的安全洞察和智能行动。不仅需要全面、高质量的安全数据为基石，为 AI 模型的训练和智能分析夯实基础；更关键的是，应通过建立全面的量化指标体系（如 MTTD、MTTR、告警准确率、风险评分等），结合 AI 驱动的持续数据分析，实现对运营效果的精准评估与持续优化，从而驱动基于数据的安全决策，最终确保安全投入的价值回报最大化，并实现安全运营体系的持续进化，以及利用 A

50、I 技术进行自动化的合规检查和报告生成，以及将供应链安全和数据安全纳入统一运营范畴。2.42.4ISOCISOC 的必要性的必要性ISOC 的建设对现代企业的必要性日益凸显。不仅能有效解决传统安全运营模式的痛点，还能够显著提升组织应对日益严峻和复杂的网络安全挑战的能力，并最终保障业务的安全、稳定运行。20第二章 ISOC 概念与能力智能安全运营中心的必要性具体体现在以下几个方面：首先，ISOC 是应对不断增长的安全威胁的必然选择。当前安全威胁的复杂性和多样性持续提升，APT 攻击手段不断升级，传统安全防御手段已难以有效应对。ISOC 能够整合多源异构的安全数据，利用大数据分析、机器学习、人工智

51、能等技术，实现对安全威胁的全面感知和精准识别，深度融合 AI 技术与安全运营，打造智能化安全运营中心，实现降本增效。其次，ISOC 能够解决安全运营的痛点。传统安全运营面临告警数量大、误报率高、安全事件响应周期长、安全运营人员专业能力要求高等问题。ISOC 通过 AI 驱动的告警降噪、自动化响应、智能分析等手段，能够降低误报率，提高告警准确性，加快安全事件响应速度，减轻安全运营人员工作负担。通过自动化编排，将安全运营流程由手工模式转为自动化模式，以提高网络安全事件处置效率。第三，ISOC 能够提升安全运营的效率和效果。它实现了安全运营的自动化、智能化和协同化，提高了安全运营的整体效率和效果。通

52、过缩短威胁研判时间，降低误报率，提升安全事件处置效率，减少人工干预，ISOC能够为企业带来实实在在的价值。通过量化指标体系，可以实现对安全运营效果的全面评估和持续改进，确保安全投入的回报最大化。21第二章 ISOC 概念与能力第四，ISOC 能够更好地满足合规性要求。随着网络安全法律法规的日益完善，组织需要满足各种合规性要求。ISOC 能够帮助组织梳理安全流程，建立安全制度，利用 AI 技术自动化进行合规性检查，满足等级保护、GDPR 等合规性要求，确保安全建设符合合规标准。最后，ISOC 能够实现全方位的安全防护。传统安全防护手段难以覆盖云安全、数据安全、供应链安全等新兴领域。ISOC 能够

53、扩展业务范围，将这些新兴领域纳入安全运营，实现全方位的安全防护，并能够构建更为开放的安全生态，积极引入更多权威威胁情报源和合作伙伴，构建全生态协同作战平台。22第三章 ISOC 的关键技术第三章第三章 ISOCISOC 的关键技术的关键技术智能化安全运营中心（ISOC）通过数据驱动和 AI 赋能，实现了安全运营的自动化、智能化和自适应，代表了未来安全运营的发展方向。本章将深入探讨 ISOC 的工作原理、智能化发展阶段、技术架构支撑以及其运营的关键技术，全面阐述 ISOC 如何引入人工智能和自动化技术，实现安全运营的转型升级。3.13.1ISOCISOC 的工作原理和发展的工作原理和发展1 1）

54、工作原理）工作原理ISOC 的工作原理围绕着一个持续的数据处理、分析、决策和行动闭环。首先，通过部署在各类安全设备和IT 系统上的传感器或接口，全面采集海量、多源的安全相关数据（日志、流量、告警、行为、情报等）。这些原始数据被汇聚至安全数据湖或安全大数据平台进行集中存储、清洗、标准化和丰富化处理，为后续分析奠定高质量的数据基础。接着，AI 分析引擎利用机器学习、深度学习、NLP、知识图谱等技术对处理后的数据进行深度分析，进行威胁检测、异常行为识别、事件关联和风险评估。AI Agent 作为智能中枢，接收并综合分析引擎的输出，结合自身的知识库和预设目标进行智能决策和任务编排，生成响应建议或自动化

55、的响应预案。SOAR平台则根据 AI Agent 的指令或预定义剧本，自动化执行响应操作，通过调用各安全设备的 API 接口实现威胁的遏制、清除和修复。在此过程中，安全分析师通过人机交互界面对 AI 的分析结果和自动化行动进行监控、审核和干预，并将经验和知识反馈给 AI 系统。最终，整个 ISOC 系统通过持续学习和优化（包括 AI 模型的迭代、知识库的更新、流程的改进），不断提升其安全运营的智能化水平和对新型威胁的适应能力。ISOC 的工作原理23第三章 ISOC 的关键技术2 2）智能化发展）智能化发展ISOC 的智能化发展并非一蹴而就，而是经历了一个从自动化到智能化再到自主化的渐进过程。

56、每个阶段都引入了新的技术和能力，逐步提升安全运营的效率、效果和自适应性，最终目标是构建一个能够自主学习、自主决策、自主响应的智能安全运营体系。ISOC 的智能化发展第一阶段：自动化阶段夯实基础自动化阶段的核心目标是将安全运营中重复性、规则明确、耗时的人工任务自动化，以提高效率、减少人为错误，为后续的智能化升级奠定基础。关键技术特点包括利用机器学习的聚类算法对海量告警进行分组降噪，帮助分析师聚焦关键威胁；建立多维度的风险评分模型，结合置信度、严重性、影响范围、威胁情报等指标，为告警确定优先级；以及广泛应用 SOAR 平台，通过预定义的剧本实现常见安全事件的自动化响应编排。第二阶段：整合与优化阶段

57、提升智能整合与优化阶段的目标是将不同的安全工具和 AI 模型进行深度集成，形成一个协同工作的智能安全运营体系，并利用 AI 技术对安全运营流程进行优化。关键技术特点包括引入基于 Agent 的架构，让 AI Agent 负责特定任务并进行协作；利用基于人类反馈的强化学习等技术，使 AI Agent 能够从实践和分析师反馈中持续学习和改进决策能力；安全运营从“全量处理”转向“精准打击”，由 AI Agent 智能规划调查路径和响应措施；构建安全知识图谱，关联威胁情报、漏洞、资产、事件等信息，为 AI Agent 提供丰富的上下文；以及应用大语言模型（LLM）进行安全事件分析、报告生成、知识问答等

58、，进一步提升效率和智能化水平。第三阶段：自主智能阶段实现自主适应自主智能阶段的目标是实现安全运营的高度自主化和自适应，使安全系统能够自动适应新的威胁和环境变化，并持续优化自身的安全能力。关键技术特点包括建立多反馈机制，使 AI Agent 之间以及 AI Agent 与分析师、外部知识库之间能够共享结果和经验，实现系统的共同进化；构建动态、快速的响应机制，利用集体智慧和强化学习等技术，自动调整实时策略以应对不断变化的威胁；实现优化的资源分配，根据风险等级、影响范围和成功可能性，智能地优先处理安全事件和分配运营资源；达成自适应安全，系统能够根据风险评估结果动态调整安全策略和控制措施；以及实现持续

59、学习与进化，ISOC 能够不断从新的数据和反馈中学习，优化 AI 模型、24第三章 ISOC 的关键技术策略和流程，保持对新兴威胁的防御能力。3.3.2 2ISOCISOC 的技术架构的技术架构ISOC 的技术架构是一个层次化、模块化、开放式的体系结构，旨在实现数据的全面采集、智能的分析、自动化的响应、人机协同的运营模式，以及持续的优化改进。通常包括以下几个关键层次：数据采集层负责全面收集多源异构的安全相关数据；数据汇聚层通过 SIEM 和安全数据湖实现数据的集中存储、预处理和管理；智能分析层利用 AI 安全分析平台、UEBA、TIP、AI Agent 和知识库进行深度分析、威胁检测和风险评估

60、；编排响应层通过 SOAR 平台实现安全事件响应的自动化编排与执行；操作交互层则通过态势感知平台、分析师工作台和 AI Agent 交互界面，支持人机协同。AI Agent 作为核心智能体，贯穿各个层次，进行协调、决策和学习。IT基础设施（网络、计算、存储）是整个架构的基础支撑。整个架构通过“数据汇聚感知理解知识总结决策行动持续学习”的闭环循环，驱动 ISOC 不断进化，构建主动、智能、自适应的安全防御体系。ISOC 技术架构示意图1 1）数据处理层）数据处理层数据处理层作为 ISOC 的数据枢纽，负责汇聚来自数据采集层的海量、多源异构数据，并进行高效地管理和处理。核心功能包括数据汇聚（统一接

61、收日志、流量、告警、情报等）、数据清洗与转换（去重、格式化、标准化、丰富化）、数据存储与管理（利用大数据技术如 Hadoop 等构建安全数据湖或增强型 SIEM）、数据索引与查询（支持快速检索）以及数据访问控制。其关键在于保证数据的全面性、准确性、实时性和可用性，为上层智能分析提供高质量的数据基础，并通过统一接口实现数据共享。25第三章 ISOC 的关键技术2 2）智能分析层）智能分析层智能分析层作为 ISOC 的“大脑”，负责利用 AI 技术对汇聚的数据进行深度分析，实现威胁检测、事件分析和决策支持。核心功能包括 AI 赋能的威胁检测（利用机器学习、深度学习识别未知威胁、高级威胁和异常行为）

62、、智能化的事件分析研判（自动化关联分析、根因分析、攻击路径还原、风险评估）、威胁情报的深度分析与应用（利用 NLP、知识图谱等分析情报、提取 IOC、构建攻击者画像）、AI Agent 的智能决策（基于分析结果和知识库生成响应建议或预案）以及可解释 AI（提供模型决策依据）。该层是 ISOC 实现智能化的关键，需要强大的 AI 模型库和知识库支撑。3 3）编排响应层）编排响应层编排响应层作为 ISOC 的“手臂”，该层负责将智能分析层的决策转化为具体的行动，实现安全事件的自动化响应和处置。核心功能包括安全剧本编排（通过可视化或低代码方式定义响应流程）、自动化执行（协调SOAR 平台调用各安全设

63、备 API 执行隔离、阻断、清除等操作）、与 AI Agent 的集成（接收 AI Agent 生成的响应预案并执行）、案例管理（记录和管理事件处置全过程）以及审批流程（对高风险操作进行人工审核）。关键在于与各安全工具和 IT 系统的广泛集成能力以及剧本的灵活性和可靠性。4 4）操作交互层）操作交互层操作交互层作为 ISOC 与安全运营人员之间的接口，该层负责提供友好的人机交互界面和工具，支撑人机协同。核心功能包括安全态势感知（通过仪表盘、图表、地图等可视化展示安全态势）、事件调查与分析（提供统一工作台和分析工具）、AI Agent 交互（查看 AI 分析结果、授权响应、提供反馈）以及报告生成

64、（自动或半自动生成各类安全报告）。关键在于提升用户体验，降低操作复杂度，促进 AI 与人的高效协作。3.33.3 ISOCISOC 的基础技术的基础技术ISOC 的实现依赖于多种关键技术的融合与应用，这些技术共同支撑了 ISOC 的数据驱动、AI 赋能、自动化响应和持续进化能力。26第三章 ISOC 的关键技术ISOC 的技术能力1 1）大数据处理技术）大数据处理技术大数据管理技术包括分布式存储（如 Hadoop、Elasticsearch）、分布式计算（如 Spark、Flink）、流处理、数据仓库、数据挖掘等，是处理 ISOC 海量安全数据的基础，主要能力包括：海量的安全数据采集：应从组织

65、 IT 环境的各个层面和角度，全面采集与安全相关的数据，并关注实时采集数据、支持多种数据源、能够处理不同格式的数据，如 Syslog、JSON、X 机器学习、CSV 等。多样化的数据类型：ISOC 需要处理和分析各种类型的安全数据，包括格式化数据（例如数据库日志）、半格式化数据（例如 JSON、XML 格式的日志）和非格式化数据（例如文本格式的）威胁情报、图像、视频等）数据汇聚：将来自各个数据源的海量安全数据汇聚到一个或多个中心节点，进行集中存储和管理。数据清理和转换：对数据进行清理、去重、格式转换、范式化等操作，形成统一的数据格式。数据存储和管理：利用大数据技术，对海量安全数据进行高效地存储

66、和管理。数据索引和查询：对数据进行索引，支持快速地检索和查询。数据访问控制：对数据访问进行权限控制，保证数据的安全性。技术关键点：技术关键点：确保数据的全面性、实时性和高质量。应制定统一的数据采集规范，明确各个数据源需要采集的数据类型和格式；建立数据质量监控机制，及时发现和处理数据质量问题；利用消息队列等技术实现数据的实时传输和处理。确保数据的可访问性和可用性，以及数据分析的高效性。应为智能分析层提供统一的数据访问接口；智27第三章 ISOC 的关键技术能分析层根据分析需求从数据湖中查询和获取数据，并利用大数据处理技术提升数据分析的效率。2 2）人工智能技术）人工智能技术人工智能技术是 ISO

67、C 的核心，涵盖机器学习/深度学习、自然语言处理（NLP）、知识图谱、大语言模型（LLM）、AI Agent 技术等。大模型应用技术大模型应用技术大模型在安全运营中，大模型的优势是自然语言理解和生成能力、擅长理解复杂语境、自然语言、跨领域知识，主要能力包括：理解自然语言信息。针对安全报告、威胁情报和日志数据。对告警信息进行识别和关联，提取关键信息，进行深入的分析和推理。对话交流。安全人员可以使用日常语言与模型交流，获取信息和指导，降低安全工具的使用率，提高工作效率。识别新型威胁和未知攻击。大模型的泛化能力可识别新型威胁和未知攻击，即使这些威胁和攻击与训练数据存在差异。推荐方案。根据安全事件的类

68、型和严重程度，自动生成响应方案和操作指南，提高事件响应的速度和准确性。典型应用：典型应用：威胁检测和分析。基于原始日志、业务流量及安全告警数据等，检测和识别潜在威胁及异常行为，并给出处理措施。日志解析和故障排除。解读日志数据，识别系统故障、配置错误及异常行为。专家知识问答。通过自然语言交互问答方式获取安全专业知识和系统业务数据以及围绕安全运营、安全运维相关的措施手段。生成实时安全建议和指导方案，辅助安全运营管理闭环。安全智能向导。通过和用户交互，查询对应的管理策略或要求，辅助人员快速获取需要的信息。情报处理。实现高效的信息提取、理解和生成，适用于多种格式和复杂内容的处理，显著提升文档处理的智能

69、化水平。钓鱼邮件生成。根据钓鱼邮件主题，自动生成对应内容钓鱼邮件，满足攻防演练需求。威胁检测。通过结合 AI 技术，进行威胁检测。例如引入视觉神经网络来替代传统的钓鱼监测、挖矿监测。自动生成报告。快速生成事件报告。推荐剧本。在安全分析研判之后，推荐可以进行处置的剧本。机器学习机器学习/深度学习深度学习机器学习/深度学习可以使计算机能够从数据中学习，从数据中自动提取模式和规律，并利用这些模式进行预测或决策，分为监督学习、非监督学习、强化学习等多种类型。其中深度学习是机器学习的一个分支，使用28第三章 ISOC 的关键技术神经网络来分析复杂数据，处理高维度、无形的数据，例如图像、文本、音频、序列数

70、据等，能够自动学习复杂的特征表示。主要能力包括：数据分类：将数据划分到不同的类别中，例如判断邮件是否为垃圾邮件、判断网络流量是否为非法流量。回归：预测一个连续的数值，例如预测安全事件的风险等级、预测未来的攻击频率。异常检测：识别异常模式的数据点，例如识别异常的用户行为、异常的网络流量等。关联规则挖掘：发现数据中隐藏的关联关系，例如发现不同安全事件之间的关联。图像识别：识别图像中的物体、场景等，例如识别物体软件的图像。自然语言处理：理解和处理人类语言，例如分析邮件内容、识别钓鱼网站等。序列流量数据建模：处理时间序列数据，例如用户行为序列、网络序列等，进行异常检测和威胁预测。特征提取：自动从原始数

71、据中学习特征表示，例如从网络流量数据中学习特征。复杂模式识别：识别复杂的攻击模式，例如 APT 攻击、0-day 漏洞攻击等。典型应用包括：典型应用包括：数据分类、数据安全：机器学习可以通过学习不同类型数据的特征，实现对数据类型的自动识别。这对于数据安全和数据治理非常重要，例如可以用于识别敏感数据、对数据进行分类分级等。恶意软件检测、入侵检测：机器学习可以结合静态分析（例如分析文件结构、代码特征）和动态分析（例如在沙箱中运行程序，观察其行为）的方法。该专利可能利用机器学习技术，从静态和动态特征中识别出恶意软件或攻击行为的特征。网络入侵检测：深度学习模型可以从大量的网络流量神经数据中自动学习特征

72、，利用深度网络来识别网络异常行为，并识别出复杂的攻击模式。网络攻击检测、加密流量分析：机器学习可以结合 DNS 和 HTTPS 流量的特征，利用机器学习方法识别恶意加密流量。这对于检测利用加密通道进行通信的恶意软件和行为攻击非常重要。人工智能识别：利用机器学习或深度学习技术，可以对恶意软件进行类型检测，例如识别出勒索软件、木马、蠕虫等不同类型的恶意软件。漏洞利用检测、0-day 攻击检测：利用机器学习或深度学习技术，可以检测针对未知漏洞（零日漏洞）的攻击。这通常需要利用异常检测或行为分析技术。威胁检测：构建多源安全检测框架，并利用机器学习技术进行场景检测。整合来自多个安全设备和系统的数据，并利

73、用机器学习模型识别出特定的安全场景，例如 APT 攻击、数据泄露等。知识图谱知识图谱知识图谱是一种用图结构来表示知识的方法，它由节点和边组成，节点表示实体或概念之间的关系，边表示实体或概念之间的，能够表示实体之间的复杂关系，支持推理和查询，并可以融合多个源数据。技术典型应用包括：威胁检测与分析：知识图谱能够通过实时关联不同来源和类型的数据，发现数据之间的隐藏关系，构建完整的攻击链路。安全基线检查：知识图谱能够关联各种安全管理要素，例如资产、漏洞、威胁和安全策略，可以评估29第三章 ISOC 的关键技术安全配置的有效性和完整性威胁情报分析：构建威胁情报知识图谱，将攻击者、攻击手段、恶意软件、漏洞

74、等信息关联起来，帮助安全分析师更好地掌握威胁情报。例如将某个恶意 IP 地址与相关的恶意域名、恶意文件、攻击组织等信息关联起来。安全事件关联分析：利用知识图谱进行安全事件的关联分析，例如发现不同安全事件之间的关联，还原攻击者的攻击路径。例如将来自 SIEM、EDR、NDR 等平台的安全事件关联起来，构建攻击事件的知识图谱，从而发现隐藏的攻击链。攻击者画像：可以利用知识图谱构建攻击者画像，例如分析攻击者的 TTP、使用的工具、攻击的目标等。例如根据攻击者的模式行为和使用的工具，构建攻击者画像，并将其与已知的攻击组织进行关联。3 3）SOARSOAR 技术技术安全编排自动化与响应（SOAR）实现安

75、全事件响应流程的自动化，旨在提高安全运营效率，快速响应安全事件，并减轻安全人员的工作压力。技术典型应用包括：边界一键封堵：发现恶意 IP 攻击后，联动防火墙封堵外部恶意 IP 访问策略。终端一键查杀：发现病毒攻击后，进行病毒查杀及终端隔离，账号禁用。恶意软件检测与隔离：检测到恶意软件，自动隔离受感染主机并通知安全团队。钓鱼邮件响应：检测到钓鱼邮件时，自动隔离邮件并通知相关人员。勒索软件响应：检测到勒索软件活动，自动隔离受感染主机并通知安全团队。DDoS 攻击缓解：检测到 DDoS 攻击时，自动触发防火墙规则更新并通知运营团队。内部威胁检测：当检测到异常内部访问行为时，自动锁定账户并生成调查报告

76、。挖矿检测封锁：将流量中的域名、IP、port、时间等数据发送至 EDR，由 EDR 证实风险程度，通过 SOAR 给防火墙下发封禁域名/IP 信息命令。4 4）威胁情报）威胁情报威胁情报为 ISOC 提供了关于攻击者、攻击手段、恶意软件等方面的知识，帮助分析师更好地了解安全威胁，并采取更有效的防御措施，是实现主动防御的关键。例如异常行为或流量的研判、攻击者画像、制定应对措施等。技术典型应用包括：SIEM：将威胁情报集成到 SIEM 系统中，提高告警的准确性和优先级。入侵检测系统（IDS）/入侵防御系统（IPS）：使用威胁情报检测和阻止恶意入侵。终端安全：在终端设备上部署威胁情报，检测和阻止恶

77、意软件。钓鱼邮件防护：识别和阻止钓鱼邮件，保护用户免受攻击。态势感知：通过威胁情报提升对网络安全态势的整体理解。关键技术点关键技术点应收集来自各种来源的威胁数据，如开源情报、商业威胁情报、社交媒体、暗网论坛等。通过安全厂商通过与客户合作，在客户现场进行安全服务，形成实战报告，从中获取实战数据，用以训练威胁情报模型。30第三章 ISOC 的关键技术构建威胁情报知识图谱，描述实体之间的关系，提供威胁信息的上下文。智能化威胁情报的收集、分析和分发过程，提高效率。3.43.4ISOCISOC 的智能核心（的智能核心（AIAI 智能体）智能体）AI 智能体是 ISOC 的核心技术之一，也是实现安全运营智

78、能化、自动化和自适应的关键。AI 智能体能够模拟人类专家的思维和行为，自主执行安全运营任务，并与安全分析师协同工作，从而大幅提升安全运营的效率和效果。在本报告中，我们将除大型语言模型（LLM）之外的机器学习、知识图谱等 AI 技术称为“基础 AI 技术”。3.4.13.4.1 AIAI 智能体的关键能力智能体的关键能力AI Agent 的关键能力包括全面的数据采集能力、基于知识的推理能力、基于 AI 模型的分析能力、自主决策和规划能力、自动化行动能力、持续学习和适应能力以及人机协同能力。AI 智能体关键能力全面的数据采集能力：通过 API 集成、消息队列等方式，从 SIEM、EDR、NDR/N

79、TA、UEBA、TIP、DSPM等多个安全平台获取数据，进行数据的构建和标准化，构建对安全数据的全面采集。基于知识的推理能力：AI 智能体内部维护一个安全知识库（例如本体库、规则库、案例库、知识图谱等），并利用推理引擎（例如规则引擎、逻辑推理、概率推理等）对采集到的信息目的进行推理，判断安全事件的性质、攻击的性质、影响范围等。基于 AI 模型的分析能力：AI 智能体能够调用各种预先训练好的 AI 模型（例如机器学习模型、深度学习模型、NLP 模型等）进行威胁检测、异常分析行为、风险评估、攻击路径还原等。自主决策和规划能力：AI 智能体能够根据当前的安全预设和预设的目标，自主地进行决策，并制定行

80、动方案（如响应预案）。自动化行动能力：AI 智能体能够协调 SOAR 平台或其他安全工具，自动化执行预定义的响应操作，例如隔31第三章 ISOC 的关键技术离终端、阻止 IP、取消账号等。持续学习和适应能力：AI 智能体能够根据新的数据、安全分析师的反馈以及行动的执行结果，持续学习和优化自身的知识库和 AI 模型，提高对未知威胁的检测和响应能力。人机协同能力：AI 智能体能够与安全分析师进行有效的人机协同，例如向安全分析师提供决策支持、接受安全分析师的指令、向安全分析师解释其决策等。3.4.23.4.2 AIAI 智能体的工作流程智能体的工作流程AI Agent 的工作流程遵循“感知认知行动学

81、习记忆”的循环，持续监控环境、分析威胁、执行响应、学习和进化。AI 智能体工作流程（以告警处理为例）AIAI 智能体处理流程如下（以告警处理为例）：智能体处理流程如下（以告警处理为例）：收集来自收集来自 SIEM/SOCSIEM/SOC 的相关信息的相关信息安全设备（如 EDR、NDR、WAF 等）检测到异常行为或威胁，生成告警发送给 SIEM/SOC 平台，SIEM/SOC收集告警信息并进行初步处理（标准化、去重等），然后将处理后的信息发送给 AI 智能体。根据告警获取更多信息根据告警获取更多信息AI 智能体自动执行信息收集和查询，无需人工干预。利用 API 集成和自然语言处理（NLP）技术

82、自动查询多个数据源，获取更多上下文信息来准确评估，如从 SIEM/SOC 获取更详细的日志信息，从 EDR 获取进程、文件等信息，从 NDR/NTA 获取相关的网络流量数据，从 UEBA 获取相关用户的行为信息，从情报库查询威胁情报，获取 IOC 信誉、攻击者信息等，从资产数据库：获取相关资产的信息（例如，服务器的用途、操作系统、应用等），从漏洞数据库获取与相关的漏洞信息。AIAI 智能体告警分析智能体告警分析调用和编排各种 AI 模型，并整合分析结果。如 AI 智能体对其他事件进行分析，判断其真实性、风险等级和影响范围，运用多个 AI 模型进行分析，如利用威胁分类模型确定相似的类型（例如，恶

83、意软件、网络入侵、数据泄露等）。知识图谱进行推理，例如，判断其他中的 IP 地址是否与已知的恶意 IP 地址相关联。智能决策与响应推荐智能决策与响应推荐32第三章 ISOC 的关键技术AI 智能体是决策的核心，利用 AI 模型（如决策树、强化学习模型）进行决策，并生成响应建议。如根据相似的类型、风险等级、影响范围等因素，推荐相应的响应措施，例如隔离主机、阻止 IP、禁用账号、清除恶意软件等。AI 智能体可以根据预定义的响应策略和当前的对应信息，自动生成针对该对应的响应预案，包括具体的响应步骤、负责人、时间要求等。优化和更新优化和更新AI 智能体监控利用 AI 模型进行智能化评估，涉及监控各个安

84、全平台的数据，评估响应措施的执行效果，例如：受感染主机是否已成功隔离。非法流量是否已被阻止。恶意进程是否已被清除。安全分析师提供反馈信息，如误报、漏报、提供正确的响应措施等，而 AI 智能体根据更新 AI 模型和知识库，提高自身的性能，并将新的IOC、攻击模式、响应策略等更新到知识库。3.4.33.4.3 AIAI 智能体在智能体在 ISOCISOC 中的应用场景中的应用场景AI Agent 在 ISOC 中的应用场景非常广泛，包括但不限于异常行为分析、威胁分析、威胁调查取证、智能事件调查、自动化响应、主动威胁狩猎、安全策略优化、安全风险评估、自动化安全报告生成等。AI Agent 的应用场景

85、异常行为分析智能体异常行为分析智能体利用机器学习模型，为每个用户构建行为画像，描述其正常的行为模式，如：正常登录时间、正常访问权限、正常访问数据等，并开展异常行为检测，发现非正常行为模式的异常行为，例如：异常登录、异常访问、异常权限使用、异常数据访问等，并将告警发送给后面的内部威胁分析智能体。威胁分析智能体威胁分析智能体结合 UEBA、DLP 的数据外发、EDR 的终端异常行为等数据，进行综合分析，判断是否存在内部威胁。并将检测到的异常行为与情报中的威胁情报进行关联，例如，判断某个用户的行为是否与已知的内部威胁指标一致。并利用 NLP 和机器学习技术，分析用户的行为轨迹和操作内容，推断其意图，

86、例如是无意的破坏操作或无意的恶意行为。威胁调查取证智能体威胁调查取证智能体收集与威胁事件相关的数据，例如日志、文件、邮件等记录，利用知识图谱等技术，还原内部威胁事件的33第三章 ISOC 的关键技术完整流程，并以可视化的方式呈现给安全分析师。对于高优先级告警，智能体会生成详细的告警报告，包括告警描述、可能的原因、建议的处理措施等，并通过即时通讯工具、邮件或告警系统推送给运维人员。对于低优先级告警，智能体会记录到日志中，供后续分析或定期回顾。其他智能体类型还有：其他智能体类型还有：智能事件调查：自动收集与事件相关的信息，进行关联分析、攻击路径还原、根本原因分析，并提供调查建议。自动化响应：根据事

87、件类型和风险等级，自动生成响应预案，并协调 SOAR 平台执行自动化响应操作。主动威胁狩猎：根据威胁情报和 AI 模型的分析结果，主动搜索潜在的威胁。安全优化策略：根据历史安全事件和当前的威胁，提供安全策略优化的建议。安全风险评估：利用 AI 模型对安全风险进行量化评估。自动化安全生成报告：根据安全事件的分析结果，自动生成安全事件报告。1 1）AIAI 智能体的优势智能体的优势AI Agent 的优势包括可提高效率、提升准确性、增强主动性、降低成本、持续学习、适应性强。提高效率：智能化执行安全运营任务，减少人工干预，提高效率。提升准确性：利用 AI 模型进行更准确的威胁检测、事件分析和响应决策

88、。增强主动性：实现主动威胁检测、主动威胁狩猎和主动防御。降低成本：减少对安全专家经验的依赖，降低人力成本。持续学习：不断学习新的威胁数据，持续提升自身的能力。认知能力强：能够适应不断变化的安全威胁和环境。挑战：数据质量：AI 智能体的性能高度依赖于数据质量，需要保证数据的全面性、准确性、及时性和一致性。模型可解释性：AI 模型的决策过程需要透明和可解释，增强安全分析师的信任度。AI 智能体安全性：AI 智能体本身也可能成为攻击目标，需要采取措施来保证 AI 智能体的安全性。AI 智能体故障：需要确保 AI 智能体的决策和行动是可靠的，避免误操作。人才需求：需要既懂安全又懂 AI 的复合型人才来

89、构建和维护 AI 智能体。技术成熟度：AI 智能体技术仍处于发展阶段，需要不断探索和完善34第四章 ISOC 的典型应用场景第四章第四章 ISOCISOC 的典型应用场景的典型应用场景智能化安全运营中心（ISOC）通过将 AI 技术与传统 SOC 应用相结合，显著提升了安全运营的效率和效果。ISOC 能够实现更精准的威胁检测、更快速的事件响应、更全面的安全态势感知以及更智能的安全决策支持，从而更好地保护组织的信息资产和业务安全。ISOC 的典型应用场景广泛，主要涵盖了风险识别、威胁检测与研判、事件响应以及运营管理等关键领域。本章将详细阐述 ISOC 在这些核心场景中的智能化应用。图 ISOC

90、的典型应用场景4.14.1 风险识别风险识别组织通常拥有大量 IT 资产和复杂网络环境，同时面临严格的合规要求。传统的安全运营在风险识别方面面临诸多挑战，如资产底数不清、漏洞管理低效、攻击面评估困难等，难以实现真正的主动防御。35第四章 ISOC 的典型应用场景风险识别应用场景ISOC 通过引入 AI 技术，对风险识别的各个环节进行智能化赋能，实现了从事后补救到事前预防的转变，为构建主动防御体系奠定了坚实基础。智能化风险识别1 1）资产管理）资产管理面对组织 IT 资产数量庞大、种类繁多、变更频繁的现状，传统手工管理方式效率低下且易出错。ISOC 利用机器学习、知识图谱和自然语言处理（NLP）

91、等技术，实现了资产的自动发现、精准分类、动态变更检测以及关系可视化。AI 模型能够自动识别资产类型、操作系统和应用软件；NLP 技术则能从配置文档中提取关键属性；知识图谱则构建资产间的依赖关系。这种智能化的资产梳理方式，不仅大幅提高了资产盘点的效率和准确36第四章 ISOC 的典型应用场景性，消除了管理盲区，还为后续的安全策略配置、漏洞管理和风险评估提供了可靠的基础数据。智能化优势：智能化优势：提高资产盘点效率：自动化资产盘点提高效率，降低人工成本。全面掌握资产信息：提供完整、准确的资产清单，消除管理盲区。及时发现资产变更：快速识别未授权的资产变更，降低安全风险。可视化资产关系：通过知识图谱，

92、清晰显示资产之间的关联关系，从而进行风险评估和事件调查。2 2）风险评估）风险评估传统的风险评估依赖人工经验和静态规则，难以全面、动态地评估复杂环境下的安全风险。ISOC 利用 AI技术提升风险评估的智能化水平。通过强化学习，可以自动化模拟攻击者的漏洞扫描、利用和路径规划过程；机器学习模型可以根据漏洞的可利用性、威胁情报、资产重要性等因素，智能评估风险并优化防御策略；知识图谱则关联资产、漏洞、威胁等信息，提供更全面的风险上下文；自然语言处理技术则可用于自动化生成风险评估报告。这种 AI 驱动的风险评估方式，提高了评估效率、扩大了覆盖面、提升了准确性，并能发现更复杂的潜在风险。智能化优势：智能化

93、优势：提高渗透测试效率：自动化执行渗透测试，整个测试周期。降低渗透测试成本：减少对人工渗透测试专家的依赖。扩大渗透测试覆盖面：对目标系统进行更全面、更深入的安全测试。提高渗透测试质量：发现更多潜在的安全漏洞。3 3）自动化渗透测试和漏洞全生命周期管理自动化渗透测试和漏洞全生命周期管理针对传统漏洞管理效率低、易出错、修复优先级难确定的痛点，ISOC 实现了漏洞全生命周期的智能化管理。厂商案例厂商案例亚信安全的新一代 XDR 平台通过广泛接入第三方系统的资产数据，包括云、网络、端行为数据和第三方日志等数据，实现多源资产数据的自动整合、属性信息补全、资产清单生成及变更记录，为解决数据孤岛、威胁检测提

94、供了可靠的数据基础。厂商案例厂商案例碳泽的自动化渗透系统通过模拟真实黑客的攻击，自动化验证漏洞危害，从而验证漏洞的测试破坏性以及企业安全防护的效果行为，更准确地评估安全风险。37第四章 ISOC 的典型应用场景利用 NLP 技术自动解析 CVE 描述，提取关键信息；利用机器学习模型根据严重性、可利用性、业务影响等因素智能排序漏洞优先级；利用知识图谱分析漏洞与资产、业务的关联，评估影响范围并推荐修复方案。同时，AI驱动的自动化渗透测试能够模拟攻击者行为，自动发现、利用漏洞并规划攻击路径，最终生成包含修复建议的详细报告。这不仅提高了漏洞管理的效率和质量，降低了人工成本，还能优先修复高危漏洞，准确评

95、估漏洞影响，避免盲目修复带来的业务中断。智能化优势：智能化优势：自动化漏洞管理流程：提高漏洞管理效率，降低人工成本。确定风险修复优先级：优先修复高危漏洞，降低安全性。准确评估漏洞影响范围：避免盲目修复，减少业务中断时间。提供智能修复建议：加快漏洞修复速度，提高修复质量。4.24.2 威胁检测与研判威胁检测与研判传统 SOC 基于规则的威胁检测方法面临误报率高、漏报率高、难以应对高级威胁等挑战，且在海量告警中准确评估威胁优先级也极为困难。威胁检测应用场景ISOC 借助人工智能技术，在威胁检测、告警降噪、情报生成与利用、高级威胁检测以及事件调查等多个方面实现了智能化升级，显著提升了威胁检测与研判的

96、效率、准确性和科学性。厂商案例厂商案例碳泽的安全运营自动化平台集成了漏洞管理和自动化渗透测试功能，能够真实模拟攻击者的行为，自动进行全面的漏洞利用和测试，验证漏洞稀释和安全防护效果，并通过工单系统、漏洞验证等功能，实现漏洞的全生命周期管理。绿盟科技的 ISOP 平台融合风云卫 NSFGPT 以检测响应与 CTEM（持续威胁暴露面管理），实现漏洞管理的闭环管理，将安全左移，提升漏洞运营的效率和效果。38第四章 ISOC 的典型应用场景智能化威胁检测1 1）威胁检测）威胁检测ISOC 通过对日志、网络流量、终端行为及安全告警数据等进行深度分析，利用 AI 技术检测潜在威胁及异常行为，特别是 APT

97、攻击、0-day 漏洞攻击、无文件攻击等高级威胁。深度学习模型被广泛应用于分析网络流量、终端行为等数据，检测网络入侵、恶意软件和漏洞利用；机器学习则用于威胁分类、威胁评分和误报过滤；UEBA 技术通过分析用户和实体行为，检测异常模式；知识图谱则关联安全事件与威胁情报，评估风险等级。这些智能化手段显著提高了威胁检测的准确率、覆盖范围和效率，降低了误报率和漏报率，并缩短了威胁响应时间。智能化优势：智能化优势：提高威胁检测准确率：降低误报率和漏报率。检测高级威胁：识别传统方法难以检测的高级持续性威胁（APT）。缩短威胁响应时间：快速识别和定位威胁，加快响应速度。提升安全运营效率：智能化威胁检测和评

98、估，减轻安全评估负担。39第四章 ISOC 的典型应用场景2 2）告警降噪）告警降噪面对海量日志数据，ISOC 利用 AI 技术进行精准降噪，将真正有价值的告警从大量噪音中提取出来。自然语言处理（NLP）技术用于解析日志，提取关键信息并进行语义分析；机器学习模型（如聚类、异常检测）识别异常日志模式；深度学习模型分析日志序列，识别潜在攻击行为；知识图谱则关联不同来源的日志数据，还原事件完整流程。这种智能化的告警降噪方式，自动化了日志筛选和分析过程，提高了效率和准确性，帮助安全分析师快速发现安全事件，提升了事件调查效率和安全设备的价值。智能化优势：智能化优势：智能化日志分析：提高日志分析效率，降低

99、人工成本。快速发现安全事件：及时识别异常日志事件，发现潜在威胁。提高事件调查效率：通过日志关联分析，快速定位事件原因。提升安全设备采集：从海量日志数据中提取有价值的安全信息，全面了解安全设备。3 3）情报生成和利用）情报生成和利用威胁情报是 ISOC 主动防御的基石。ISOC 利用 AI 技术自动化处理和分析海量的、多源的威胁情报。自然语言处理（NLP）技术从非结构化情报文本中提取关键信息（如 IOC、攻击者 TTP、漏洞信息等），并自动生成情报摘要；知识图谱技术关联不同来源的情报，构建威胁知识图谱；机器学习模型则根据情报的来源、时效性、相关性等因素，对情报进行优先级排序和可信度评估。AI A

100、gent 更能自动将高价值情报应用到安全设备（如更新防火墙规则、IDS/IPS 签名、EDR 检测规则等）和响应流程中。这极大地提高了情报分析效率和利用率，增厂商案例厂商案例奇安信 AISOC 利用机器学习和 AI 模型进行实时分析，快速准确识别潜在威胁；亚信安全新一代 XDR 平台提供多维分析体系，覆盖 APT、钓鱼、加密流量、无文件攻击、勒索等多种高级威胁场景；绿盟科技 ISOP 平台则能自动分析 payload 关联日志和情报给出攻击是否有效及是否成功的判断参考和解释，并基于场景给出研判方法和依据。厂商案例厂商案例奇安信提供告警关联智能体，对告警进行分类筛选和关联，推荐升级为事件；亚信安

101、全新一代 XDR 平台利用大模型结合业务场景进行 AI 降噪；绿盟科技 ISOP 平台则实现智能降噪和业务误报优化。40第四章 ISOC 的典型应用场景强了威胁检测能力和主动防御能力。智能化优势：智能化优势：智能化情报分析：提高情报分析效率，降低人工成本。快速获取关键情报：及时了解最新的安全威胁和攻击趋势。提高威胁检测能力：利用威胁情报，提高威胁检测的准确性和时效性。加强威胁情报共享：与合作伙伴共享威胁情报，共同防御网络攻击。4 4）0day0day 和高级威胁检测和高级威胁检测传统 SOC 基于规则的方法难以识别 0-day 漏洞攻击、无文件攻击、APT 攻击以及内部威胁等高级威胁。ISOC

102、利用 AI 技术解读日志数据，识别系统故障、配置错误及异常行为。机器学习模型为每个用户和实体构建行为画像，实时监控行为，检测异常。通过智能风险评分确定威胁等级，并触发响应。深度学习则擅长序列行为分析和长期行为模式学习，结合集成学习可以进一步提高检测准确率。这有效提升了对内部威胁和高级威胁的检测能力，降低了误报率，加强了账户安全，并加快了威胁响应速度。智能化优势：智能化优势：降低误报率：通过学习用户正常行为模式，减少误报。提高威胁响应速度：及时发现和阻止内部威胁。检测内部威胁：识别内部人员的不当行为或账户泄露。厂商案例厂商案例奇安信的 AISOC 在完成调查后会识别未被收录的信息（如新型恶意文件

103、、攻击者 IP 等），提取至威胁情报中心，实现内部情报生产。亚信安全新一代 XDR 平台通过将 IOC 数据、威胁情报信息等数据进行碰撞、实现监测、分析、预测网络安全风险威胁及威胁。绿盟科技整合绿盟风云卫 AI 和绿盟威胁情报平台（NTIP），依托 AI 安全能力平台的语义理解能力和推理分析能力，实现情报的智能融合与深度挖掘，并以自然语言的形式提供专家级解读与分析。碳泽的千乘平台对威胁情报进行信息提取，通过 ATT&CK 框架实现情报的落地应用，并通过情报进行自动化威胁评估、实现终端安全和邮件安全自动化。41第四章 ISOC 的典型应用场景5 5）事件调查）事件调查安全事件调查需要分析大量数据

104、、梳理脉络、追溯源头，传统人工分析效率低且易出错。ISOC 利用 AI 技术显著提升了事件分析的效率和深度。知识图谱技术能够关联不同来源的数据，构建事件关系图谱，还原攻击路径，分析攻击者特征。自然语言处理技术能够自动生成事件摘要，方便分析师快速了解情况。机器学习模型可以辅助进行攻击源定位、攻击手段识别和根本原因分析。大语言模型（LLM）则能帮助快速生成调查报告。AI Agent 更可以自动化执行信息收集、关联分析和初步调查任务。这些智能化手段帮助安全分析师快速、准确地了解事件来龙去脉，确定根本原因和影响范围，为响应和处置提供更可靠的决策支持。智能化优势：智能化优势：提高事件调查的效率和准确性。

105、帮助安全分析师更快地找到事件的根本原因和影响范围。为安全事件的响应和处置提供更全面的信息支持。4.34.3 事件响应事件响应安全事件响应需要快速、准确，传统 SOC 手动响应方式效率低、易出错。通过 AI 赋能，ISOC 可以实现安全事件响应的智能化和自动化，以及安全报告的自动生成，从而大幅提升安全运营的效率和效果，降低安全风厂商案例厂商案例奇安信的 QAX-GPT 利用智能关联功能，关联不同来源和类型的数据，发现数据之间的隐藏关系，构建完整的攻击序列，从而更准确地判断攻击行为并及时发现潜在威胁。亚信安全的新一代 XDR 平台，通过融合 TrustOne+TDA 行为关联分析，结合异常行为分析

106、模型，结合实现对高级威胁的场景化分析，并结合云网端全视角监测异常行为。碳泽的千乘平台针对钓鱼场景，实现按需的特征化邮件自动分析，并根据结果自动进行决策，及执行拦截邮件、发送预警等后续动作。厂商案例厂商案例奇安信的 AISOC 提供溯源调查智能体，利用思维链推理将调查时间从天级缩短至分钟级；绿盟科技 ISOP 平台则能快速生成溯源遏制阶段的推荐操作，给出推荐使用工具，辅助运营人员进行影响面分析。42第四章 ISOC 的典型应用场景险。事件响应应用场景ISOC 通过 AI 赋能实现安全事件响应的智能化和自动化，包括自动化响应、动态调整策略及报告自动生成等功能。大幅提升安全运营效率和效果，降低安全风

107、险，同时减轻分析师负担并减少人为错误。特别是 AI 智能体的应用，使得 ISOC 能够更智能地进行响应决策和自动化编排，提升事件响应效率和报告的快速生成。智能化事件响应1 1）自动化响应）自动化响应ISOC 利用 SOAR 平台和 AI Agent 的赋能，显著提升安全事件的响应速度和效率，缩短安全事件的响应时43第四章 ISOC 的典型应用场景间（MTTR），减少安全事件造成的损失，并实现更精细化和智能化的响应。AI Agent 根据事件的类型、影响范围、风险等级以及当前的威胁态势，利用机器学习模型进行智能决策，选择最佳响应措施，并自动生成响应预案。这些预案随后由 SOAR 平台自动化执行，

108、通过与各种安全设备（如防火墙、EDR、IAM 等）的 API 集成，实现隔离主机、阻止 IP、禁用账户等操作。事后，AI 还可以利用强化学习技术，根据响应效果动态调整响应策略。这种自动化响应机制提高了响应效率，减轻了分析师负担，降低了安全风险，并减少了人为错误。智能化优势：智能化优势：提高响应效率：快速响应安全事件，减少响应时间。减轻分析师负担：使专家聚焦分析处理更复杂的安全问题。降低安全风险：及时阻止威胁扩散，减少安全损失。减少人为错误：自动化执行响应动作，避免人为操作失误。2 2）报告自动生成）报告自动生成ISOC 能够基于各种分析成果、指标性证据、推理逻辑和应对策略，进行全面的信息处理和

109、整合，自动生成详尽的总结报告。AI 技术，特别是大语言模型（LLM），在此环节发挥重要作用。LLM 可以理解分析结果，并按照预设模板或特定要求（例如不同汇报对象），生成结构清晰、语言流畅、重点突出的安全报告，如安全事件报告、安全态势报告、合规报告等。虽然目前有厂商反映，生成符合特定复杂格式要求的报告仍有挑战，但自动化报告生成已大大减少了安全分析师的工作量，提高了报告的时效性和一致性。厂商案例厂商案例亚信安全新一代 XDR 平台实现对检测到的告警，将流量中的域名、IP、端口、时间等数据发送至 EDR，由 EDR 确认风险，通过 SOAR 给防火墙等防护设备下发封禁域名/P 信息命令；也可以检测针

110、对钓鱼攻击进行检测。碳泽的千乘平台可以针对勒索病毒实现自动化阻断，着眼于通过 AI 驱动的异常检测模型和场景自动化实现全流程威胁检测和智能支持。绿盟科技的 ISOP 平台可以快速生成处置建议，自动生成响应脚本及防护规则并支持手工调整，下发到SOAR 自动执行。厂商案例厂商案例奇安信 AISOC 可以根据不同报告对象（如管理者、运营分析师）自动生成不同风格、不同关注点的安全报告，为管理层推荐后续治理和预警建议。44第四章 ISOC 的典型应用场景4.44.4 运营管理运营管理随着安全运营业务范围的扩大，涵盖模拟演练、数据安全和合规评估等领域，传统的管理方式面临诸多挑战。ISOC 通过引入人工智能

111、技术，特别是 AI Agent，实现了安全运营管理的高效智能化、自动化，能够帮助企业更全面地进行资产管理、风险评估、合规评估，并提供智能化的决策支持，提升整体安全管理水平。运营管理应用场景ISOC 通过引入人工智能技术，特别是 AI 智能体，实现了安全运营管理的高效智能化、自动化，能够帮助企业更全面地进行资产管理、风险评估和评估规范，并提供智能化的决策支持，提升整体安全管理水平。亚信安全新一代 XDR 平台基于各种分析结果、指标性证据、推理逻辑和应对策略进行全面的信息处理和整合，汇总形成总结报告，可切换图表格式，解析各类资产的威胁分析情况，支持订阅生成日报、周报、月报，自动导出报告。45第四章

112、 ISOC 的典型应用场景智能化运营管理1 1）模拟演练）模拟演练传统的安全演练投入大、场景单一、效果难评估。ISOC 利用 LLM 生成演练剧本，知识图谱构建演练环境模型，强化学习训练攻击者 AI，GAN 生成恶意样本，SOAR 编排防御流程，机器学习评估演练结果，NLP 和 LLM自动生成演练报告。这使得演练场景更真实、执行更高效、结果更可重复、评估更全面。智能化优势：智能化优势：更真实的模拟场景：更真实的场景，模拟更复杂，提高演练的效果。更高效地演练：自动化执行演练，减少人力和时间投入。更可重复的演练：可以多次重复执行演练，增强不同防御策略的效果。更全面地评估：全面评估安全团队的应急响应

113、能力和安全防御水平。厂商案例厂商案例绿盟科技的 ISOP 平台能够有效地整合和分析相关数据，提高其钓鱼场景的准确度。联通数科的“社工钓鱼专家”可以实现钓鱼主题定制化、邮件内容专业化、邮件编写自动化，模拟更真实的钓鱼攻击场景。46第四章 ISOC 的典型应用场景2 2）数据安全）数据安全面对数据资产不清、敏感数据识别不准、权限混乱、流动不可视、风险难评估等问题。ISOC 利用 AI Agent进行自动化数据资产发现和分类分级（利用 NLP、机器学习）；通过知识图谱梳理数据访问权限；结合 NDR和机器学习自动发现和绘制数据流地图；利用 AI 模型进行数据安全风险评估；并根据评估结果自动生成或优化数

114、据安全策略（访问控制、加密、脱敏等）；同时持续监控并动态调整策略。这实现了数据安全管理的全面性、准确性、实时性、自动化和可视化。智能化优势：智能化优势：全面性：更全面地发现和识别数据资产，覆盖各种类型和位置的数据。准确性：更准确地识别和分类敏感数据，减少人工标记的错误和遗漏。实时性：实时监控数据访问和流动情况，及时发现数据安全风险。自动化：自动化执行数据安全装载的各个部分，提高效率，降低成本。可视化：以可视化的方式展示数据安全现状，帮助安全团队更好地了解数据安全状况。5 5）合规评估）合规评估传统合规评估依赖人工解读标准和检查配置，效率低、易出错、难覆盖、更新慢。ISOC 利用 NLP 技术自

115、动解析法规、标准和策略，提取合规要求；AI Agent 自动调用工具进行配置核查，与合规要求比对，识别不符合项；基于知识图谱关联法规、资产、配置等信息进行合规性评估；并自动生成合规报告。这提高了合规评估的效率、准确性、覆盖面和时效性，并支持持续监控。智能化优势：智能化优势：提高效率：自动化执行合规性检查和评估任务，极大地提高工作效率。降低成本：减少人工检查的工作量，降低合规成本。提升准确性：减少人为错误，提高合规性检查的准确性和一致性。全面覆盖：可以对企业的 IT 系统和安全措施进行更全面的合规性检查，避免遗漏。及时更新：能够及时跟踪安全法规和标准的变化，并更新合规性检查规则。持续监控：可以持

116、续监控企业的合规状态，及时发现和整改不符合要求的项目。厂商案例厂商案例碳泽的千乘平台利用智能分级引擎实现数据自动标注、自动生成数据跨境风险评估报告，实现数据管理效率大幅提升。安恒信息研发了数据安全的多个智能体，实现了数据分类分级、数据外发保护等功能，并取得了比较好的效果。47第四章 ISOC 的典型应用场景4.54.5 知识问答和专家辅助知识问答和专家辅助威胁告警研判需要一定的安全知识和专家经验，传统 SOC 主要依赖人员专家的分析，往往面临专家短缺的困难，运用安全专业知识增强大语言模型具备针对安全领域的智能问答推理、问题解决和决策支持的专业能力，提高对流量、日志中的异常检测和分析能力。知识问

117、答和专家辅助应用场景ISOC 可以利用智能体提供专业的安全知识，通过自然语言交互问答方式辅助分析师，获取安全专业知识和系统业务数据以及围绕安全运营、安全运维相关的措施手段，如推荐研判方法，提供详细的相关资料，并生成实时的安全建议和指导方案支持专家的判断等。厂商案例厂商案例奇安信 AISOC 可自动评估事件的合规风险；碳泽的千乘平台实现自动生成合规审计包，形成三合一证据链，提高监管检查准备时效和合规覆盖度。48第四章 ISOC 的典型应用场景知识问答和专家辅助智能体智能化优势：智能化优势：识别潜在威胁。对采集到的数据进行实时分析，快速准确地识别出潜在威胁，减少人工干预。精准识别高价值告警。将安全

118、运营人员从海量告警中解放出来，聚焦关键威胁。厂商案例厂商案例奇安信的 AISOC 通过智能副驾驶模式，实现掌握安全状态，引导事件调查和网络安全知识问答等功能。绿盟科技的 ISOP 平台通过辅助驾驶舱，赋能 SOC 团队更快速、更准确地检测、分析和响应安全威胁。亚信安全 XDR 通过知识问答进行术语解释和知识科普等。神州泰岳 Ultra-SOMC 提供告警处置辅助建议、智能安全报告等功能。49第五章国内外 ISOC 发展现状第五章第五章国内外国内外 ISOCISOC 发展现状发展现状智能化安全运营中心（ISOC）作为应对日益复杂网络威胁的关键，其发展在全球范围内呈现出蓬勃态势。国内外在应用成

119、熟度、技术侧重和市场特点上存在差异。国外 ISOC 市场起步较早，通过广泛深入地应用人工智能技术，已在威胁检测、自动化响应、风险管理等方面展现出显著优势，整体技术水平较为领先，代表了安全运营的先进方向。相比之下，国内智能化安全运营正处于快速发展和追赶的关键时期，在政策驱动、市场需求和技术创新的共同推动下，正积极探索符合国情的 ISOC 建设路径。本章将分别剖析国外和国内 ISOC 的发展现状，为国内 ISOC 的建设提供借鉴。5.15.1 国外国外 ISOCISOC 应用现状应用现状国外 ISOC 的发展已步入相对成熟的阶段，智能化安全运营市场规模持续扩大，AI 技术得到广泛而深入地应用，并与

120、 XDR、SIEM 等平台深度融合，显著提高了安全运营的智能化与自动化水平。同时，威胁情报应用成熟，云原生安全防护备受重视，整体技术水平保持领先。国外应用现状1 1）市场规模持续扩大）市场规模持续扩大国外 ISOC 市场在技术创新（AI、ML、NLP、知识图谱、SOAR 等）和网络威胁加剧的双重驱动下呈现显50第五章国内外 ISOC 发展现状著增长。金融、电信、制造、医疗等行业对通过 ISOC 提升运营效率、降低成本、增强威胁应对能力的需求尤为迫切。数字化转型加速、网络安全威胁持续增长、IT 安全人才短缺及人力成本上升以及对运营效率和可靠性的追求，是驱动市场规模扩大的主要因素。在市场需求方面

121、，国外市场对安全运营的需求迫切，期望通过 ISOC 来提升安全运营效率、降低运营成本、增强威胁检测与响应能力，并优化安全服务质量，ISOC 的应用得到充分、有效地帮助企业应对复杂的安全挑战。市场规模扩大的驱动因素主要包括：数字化转型加速：企业数字化转型加速，业务系统极度复杂，传统的人工操作难以满足安全运营需求，ISOC成为必然选择。网络安全威胁持续增长：网络安全威胁的复杂性、隐蔽性和破坏性不断增强，传统的安全运营模式面临激烈的挑战，ISOC 能够提供更智能、更主动的防御能力。IT 人才需求不断上升：全球范围内 IT 人才需求不断上升，特别是网络安全人才需求不断上升，促使企业寻求自动化解决方案。

122、运营效率和可靠性提升：ISOC 能够显著提高企业的安全运营效率和可靠性，减少人员出错，缩短响应时间，降低安全事件造成的损失。2 2）AIAI 和机器学习技术的广泛应用和机器学习技术的广泛应用AI/ML 技术已成为国外 ISOC 的核心驱动力，在异常行为检测、恶意软件检测、威胁情报自动化分析、自动化事件响应以及用户行为分析等多个方面得到广泛应用，并结合 AIAgent 提供智能决策支持。异常行为检测：利用机器学习算法分析网络流量、用户行为、系统日志等数据，识别正常模式的异常活动，检测未知威胁和内部威胁。恶意软件检测：利用机器学习和深度学习模型，分析文件、进程、网络连接等特征，检测已知和未知的恶意

123、软件，特别是 0-day 攻击和 APT 攻击。威胁情报分析：利用 NLP 技术自动化收集、处理和分析威胁情报，提取 IOC、识别攻击者的 TTP，将其应用到安全防御中。自动化事件响应：利用 SOAR 平台和 AI 智能体，自动化执行安全事件的响应流程，例如隔离感染主机、阻止恶意 IP 地址、禁用用户账号等。用户行为分析（UEBA）：利用机器学习算法构建用户和实体的行为画像，检测异常行为，识别内部威胁和账户盗用。AI 辅助决策：AI 智能体为安全分析师提供决策支持，如风险评估、响应建议、调查线索等。51第五章国内外 ISOC 发展现状3 3）SIEMSIEM 与与 XDRXDR 融合融合 A

124、IAI 提升效能提升效能为克服传统 SIEM 依赖规则、误报高、分析负担重等局限，国外 SIEM 和 XDR 平台正积极融合 AI 技术。AI赋能行为分析和异常检测，提升高级威胁（如 APT、0-day）的检测能力；AI 驱动自动化响应流程；AI 辅助进行事件优先级排序，降低告警疲劳；AI 增强威胁情报的利用，实现更快速的威胁发现和更丰富的事件上下文。AI 技术的融合为 SIEM 和 XDR 带来的增强：行为分析和异常检测：AI 算法能够学习正常的网络和用户行为模式，从而识别异常活动和潜在威胁，弥补传统 SIEM 依赖规则的不足。高级威胁检测：机器学习模型能够检测新型和未知的威胁，例如零日漏洞

125、攻击和高级持续性威胁（APT），提高对高级威胁的检测能力。自动化响应：AI 能够自动化执行事件响应流程，例如隔离受感染主机和封堵恶意 IP 地址，计算响应时间。优先级排序：AI 能够分析和关联大量的安全数据，并判定事件的优先级，从而让安全人员优先关注最重要的事件，降低同样的疲劳。威胁情报增强：通过从多方渠道获取的威胁情报，配合 AI 的分析，可以更快速地发现威胁，以及丰富事件的脉络信息。4 4）威胁情报成为）威胁情报成为 ISOCISOC 基石基石厂商案例厂商案例CrowdStrike 的 Falcon 平台：利用机器学习算法分析端点行为和威胁情报，以检测和响应高级威胁。通过其 ThreatG

126、raph 技术，将海量的安全事件与威胁情报进行关联分析，极大地提高安全分析师的工作效率。Palo Alto Networks 的 Cortex XDR 平台：利用机器学习算法分析来自端点、网络和云的数据，以检测和响应异常威胁。通过 AI 分析海量的日志，快速定位行为，为安全分析师的事件溯源提供极大的便利，并利用 AI 来识别高级威胁、自动化事件响应并提供威胁情报。厂商案例厂商案例IBM Security QRadar 可以收集、关联并优先排序安全事件。QRadar 平台利用 AI 和机器学习技术，提供实时的安全分析和威胁检测。能够转换收集、关联和分析来自各种安全设备日志和来源的数据，帮助组织识

127、别和响应安全事件，可以实现海量安全信息的管理，并且通过 AI 的能力，可以将各种信息作为安全事件的优先程度，供安全运营人员判断。Splunk Enterprise Security 利用机器学习和数据分析技术，帮助组织检测和响应安全威胁，处理和分析海量日志数据，并提供强大的可视化和报告功能，拥有极高的平台定制化能力，客户可以将各种需要监控的信息导入 Splunk 平台，并通过各类 App，实现非常详细的数据监测。Microsoft Sentinel 作为云原生 SIEM/SOAR 解决方案，利用 AI/ML 提供智能化威胁检测与响应，并紧密集成微软云生态。52第五章国内外 ISOC 发展现状

128、威胁情报是国外现代安全运营的核心。成功的 ISOC 必须能够有效地集成和利用多源威胁情报（开源、商业、行业共享等），并通过自动化技术（如 NLP、AIAgent）实现情报的实时采集、分析、关联和应用，以支持主动防御和快速响应。威胁情报被广泛用于丰富事件上下文、进行优先级排序、驱动威胁狩猎以及预测未来威胁。5 5）AIAI 保护云原生环境的安全保护云原生环境的安全国外随着云计算的普及，AI 在云安全领域的应用日益重要，AI 在云安全领域的应用也日益增长。利用 AI实现云原生保障是一个快速发展的领域，融合人工智能的强大功能与云原生架构的敏捷性和可扩展性。目前的主要应用包括云上的自动化威胁检测与响应

129、、容器安全、无服务器安全和安全运营管理：智能化威胁检测与自动响应：智能化威胁检测与自动响应：异常检测：AI 算法分析云原生环境中的大量日志和指标，识别异常行为和潜在威胁。例如，未检测授权的容器活动、异常网络流量或不并行的 API 调用。实时威胁：AI 驱动的系统可以自动响应已识别的威胁，例如隔离受感染的容器、阻止恶意网络流量或撤销权限。威胁情报融合：AI 可以关联来自各种威胁情报源的数据，识别已知的恶意 IP 地址、恶意软件签名和攻击模式。这使得云环境能够更快地检测和响应已知的威胁。容器安全：容器安全：容器运行安全：AI 可以监控容器运行时行为，检测异常活动，例如文件系统更改、进程执行或网络连

130、接。这有助于阻止恶意软件在容器内部执行。容器镜像分析：AI 可以分析容器镜像，识别潜在的漏洞、恶意软件或配置错误。这有助于在部署之前确保容器镜像的安全性。策略执行：AI 辅助自动化策略，实施在开发和运行期间，保障容器的安全配置。无服务器安全：无服务器安全：函数行为分析：AI 可以分析无服务器函数的行为，检测异常活动，例如未经授权的访问、数据泄露或非法代码执行。事件驱动安全：AI 驱动的系统可以自动化响应无服务器环境中的安全事件，例如触发恶意活动或更改配置的事件。厂商案例厂商案例CrowdStrikeFalcon 通过 ThreatGraph 关联威胁情报以检测恶意行为，并利用情报追踪 APT

131、组织；Palo Alto Networks Cortex XSOAR 则利用威胁情报丰富事件上下文并自威胁情报是国外现代安全运营的核心。53第五章国内外 ISOC 发展现状安全态势管理：安全态势管理：自动化合规性检查：AI 可以自动化执行合规性检查，确保云环境符合行业标准和法规要求。例如，检查容器配置、访问控制和数据加密。预算管理：AI 可以帮助识别和优先级化云原生环境中的漏洞，例如容器镜像中的已知漏洞或配置错误。这有助于减少攻击面并提高整体安全性。云安全态势管理（CSPM）：AI 可以辅助 CSPM 工具，自动监控云配置，检测潜在的风险，并提供修复建议。6 6）未来将进入更加智能化、融合化

132、和云原生化的发展阶段）未来将进入更加智能化、融合化和云原生化的发展阶段未来，随着 AI 技术的不断进步赋予 ISOC 更强的智能决策和预测能力，实现“修复”的自主化运营系统。同时，ISOC 领域不断拓展，形成更强的智能化。云原生 ISOC 将更加普及，提供灵活可扩展的智能化服务，并且安全性将得到极大提高，人工智能将实现对未知威胁的预判。智能化程度提升随着人工智能和机器学习技术的不断突破，ISOC 将具备更高级的智能决策和预测能力。系统不再能够执行针对人工智能的预设数据自动化流程，而是根据进行智能分析，预测潜在问题，并自动采取预防措施。例如，通过分析历史数据和趋势，AI 能够预测设备故障、网络拥

133、堵或安全威胁，并在问题发生前进行修复或实时调整。这将极大提高网络效率和可靠性，减少人为威胁。应用场景与领域不断拓展。ISOC 的应用将不再局限于传统的 IT 和网络安全领域，而是将渗透到更广泛的行业和领域中。智能制造、智慧城市、智慧医疗等领域将成为 ISOC 的重要应用场景。例如，在智能制造中，ISOC 能够实现生产线的自动化监控和优化，提高生产效率和产品质量；在智慧城市中，ISOC 能够实现城市基础设施的自动化管理，提高城市运行效率和居民生活质量。云边界与边缘计算发展云原生 ISOC 将更加普及，提供灵活、可扩展的智能化服务。企业能够根据自身需求，弹性调整 ISOC 的规厂商案例厂商案例Cr

134、owdStrike 的 Falcon 平台利用 AI 来保护云原生工作负载，包括容器和无服务器的保护。Aqua Security 专注于云容器安全，提供 AI 驱动的平台，用于保护、无服务器功能和 Kubernetes。Palo Alto Networks 的 Prisma Cloud 平台提供 AI 驱动的云原生安全功能，包括 CSPM、CWPP 和容器安全。54第五章国内外 ISOC 发展现状模和功能，并实现跨地域的智能化管理。同时，边缘计算的普及将推动边缘 ISOC 的崛起。边缘 ISOC 能够将智能化功能部署到距离数据源更近的位置，实现更快速地响应和物流的延迟，满足实时性要求的突发应

135、用场景。安全性与可靠性得到增强随着网络攻击的复杂化和复杂化，ISOC 的安全性将得到高度重视。AI 和 ML 技术将被评估 ISOC 的安全防护中，实现威胁的提前预判、检测和自动响应。例如，AI 能够分析网络流量和用户行为，识别异常活动和潜在威胁，并采取自动防御措施。同时，ISOC 的可靠性也将得到增强，通过闪电设计和故障切换机制，确保系统的稳定运行。5.25.2 国内国内 ISOCISOC 市场应用现状市场应用现状国内的智能化安全运营（ISOC）正快速崛起，市场正呈现出需求强劲、竞争激烈的显著特征，驱动着 ISOC市场显现出令人瞩目的发展前景。同时 ISOC 代表了安全运营的未来技术方向。I

136、SOC 将 AI 技术深度渗透到安全运营的威胁检测、事件分析、响应到风险管理、安全策略优化等各个环节，各厂商积极探索 AI 在不同场景的应用创新，以 AI 深度融合、混合模型及云地协同等为标志向标准化演进。国内 ISOC 市场应用现状1 1）国内市场潜力巨大，用户期望高涨）国内市场潜力巨大，用户期望高涨ISOC 市场正表现出巨大的发展和强劲的增长势头。根据安全牛 2025 年的用户调查数据，国内大多数组织（90%）对 ISOC 的未来发展持乐观态度，其中 33%的组织表示非常乐观，认为前景广阔，57%的组织表示比较乐观，认为拥有显著的预期发展势头。这种积极的态度也体现在实际行动和规划中：目前已

137、有 10%的组织正在开展 ISOC 的实施，有 29%的组织正在测试运行阶段。值得关注的是，在尚未实施的组织中，49%的组织计划在一年内进行相关采购。55第五章国内外 ISOC 发展现状对智能化网络安全运营未来的态度当前智能化安全运营中心实施情况一年内计划采购情况2 2）市场集中在关键行业领域，逐步向外渗透）市场集中在关键行业领域，逐步向外渗透安全牛分析安全牛分析这种强劲的市场需求和乐观预期，源于国内组织在安全运营方面普遍面临的痛点。传统SOC 模式下，海量报告数据带来的“告警疲劳”、安全分析能力不足导致的威胁漏报、人工处理造成事件响应效率低下等问题凸显。ISOC 通过引入人工智能、大数据分

138、析、自动化编排等先进技术，能够有效解决这些痛点，大幅提升安全运营的效率、准确性和自动化水平。未来，随着大模型等 AI 技术的持续进步、ISOC 在各行业应用效果的逐步显现，以及应用场景的不断精细化、其接受度和普及率将显著提升，在国内市场拥有了颠覆的发展前景。56第五章国内外 ISOC 发展现状根据安全牛根据安全牛 20252025 年的调研数据年的调研数据，目前国内部署智能化网络安全运营的行业主要集中在金融行业（24%）、政府机构（22%）、运营商行业（19%）、能源行业（13%）等关键领域。国内已部署组织的行业情况正是这些严峻的挑战和迫切的需求，促使这些组织积极拥抱 ISOC。他们希望利用

139、人工智能、机器学习和自动化技术来突破运营困境，并已成为 ISOC 平台测试与部署的先行者，尤其是在那些安全要求极高、数据规模庞大且拥有专业运营团队的大型机构中表现得极其突出。他们希望通过统一的 ISOC 平台或 AI 部署 Agent（智能体）来整合分散的安全资源，实现集中管控和高效协同，提升安全运营的整体水平，并利用大模型等先进技术解决实际业务问题，提升网络安全防护能力。未来，随着 ISOC 技术的持续成熟、典型案例的落地成功，云化/SaaS 化等多元化部署模式降低应用成本，智能化安全运营的需求必将逐步渗透到更广泛的行业领域（如制造、医疗、教育等）和中小型企业群体，ISOC市场将迎来更加繁荣

140、的发展空间。3 3）厂商纷纷布局，市场竞争激烈）厂商纷纷布局，市场竞争激烈当前，智能化安全运营商（ISOC）已成为网络安全领域的热点，吸引了各大厂商积极布局，市场竞争日趋激烈。传统安全厂商、云服务厂商、运营商、创新公司等不同类型的参与者都在基于自身优势的基础上，通过安全牛分析安全牛分析国内安全运营的转型升级浪潮主要由这些关键行业引领。这些行业的组织通常具备以下特点：IT 基础相对完善，积累了海量的安全数据；面临复杂且高级的网络安全威胁；接受严格的行业监管和合规要求；拥有相对完善的安全体系和运营团队。但是，仍然普遍遇到传统安全运营的困境：难以从海量数据中高效提取威胁情报、解决问题过大、安全事件响

141、应速度跟不上同步攻击以及对 APT、0-day 攻击等高级威胁的检测和理解能力不足。57第五章国内外 ISOC 发展现状技术创新、产品迭代和服务升级，着力构建差异化的竞争优势，以期在增长的 ISOC 市场中快速占据先机。综合安全厂商：例如奇安信、亚信安全、绿盟科技、安恒信息、观安信息、新华三等，凭借其在网络安全领域多年的技术积累、广泛的产品线优势，积极探索 AI 技术与安全运营的深度融合，他们将 AI 能力注入现有的安全产品和服务（如 SOC、SIEM、SOAR、EDR、威胁情报平台等），提升其整体智能化水平，推出现代化的 ISOC 解决方案或平台，为客户提供更全面、更智能的安全运营服务。S

142、OAR 平台厂商：例如碳泽信息、神州泰岳、众智维等，专注于安全编排、自动化与响应领域。这些厂商通过将 AI 技术融入 SOAR 平台，提升其在日志分析、事件调查、响应决策等方面的智能化水平，实现更智能、更高效的安全事件响应。部分 SOAR 厂商还扩展了产品线，提供包含 SIEM 或 SOC 一体化的解决方案。运营商：以联通数科为代表的运营商，凭借其在云网基础设施、海量数据资源、广泛客户覆盖等方面的独特优势，积极布局 ISOC 用户市场。一方面利用自身资源构建 AI 云原生的安全平台，为云上客户端提供安全运营服务；另一方面，积极促进与安全厂商、IT 厂商建立广泛的合作，构建开放的安全生态系统，提

143、供更智能的安全运营服务。云厂商：例如浪潮云等云服务厂商，依托其强大的云计算基础设施优势和广泛的企业客户基础，强调构建成熟、便捷、易用的云安全运营服务体系。与安全厂商合作，并将安全能力与自身的云服务深度，提供面向多云、混合云环境的云安全运营服务。创新型公司：如探真科技、睿安致远等创新型公司，重点关注 AI 安全技术的创新或特定场景的应用，例如威胁狩猎、欺骗防御、数据安全等，在产品的场景创新、高度兼容、易用性、灵活性和定制化服务等方面寻求突破，满足用户个性化的安全运营需求。目前，ISOC 市场的竞争焦点主要集中在 AI 技术与具体安全运营场景的融合、覆盖范围与落地能力、AI 模型的准确性/可解释性

144、/可靠性、自动化响应的自动化与灵活性、安全大数据的处理能力等方面。未来，随着智能化安全运营逐渐成为主流，技术引领提升，应用领域不断扩展，单一厂商将越来越难以提供覆盖所有的完整解决方案。同时，人工智能模型的训练和优化高度依赖于海量、高质量的安全数据和威胁情报。安全牛预计，厂商之间的生态合作将成为未来发展的重要趋势。技术合作、产品集成、数据共享、威胁情报共享、联合解决方案等模式将更加普遍。通过生态合作，厂商可以实现优势互补、资源共享、和谐创新，共同推动安全运营技术的发展和应用，为客户提供更强大的保障安全。5.35.3 国内技术和应用现状国内技术和应用现状国内智能化安全运营领域正呈现出蓬勃发展的态势

145、，安全厂商和部分领先企业积极探索和应用人工智能技术，推动安全运营从传统模式向自动化、智能化转型，技术与应用创新呈现出百花齐放的局面。58第五章国内外 ISOC 发展现状国内 ISOC 技术应用现状1 1）安全运营平台趋向统一集成、数智驱动的转型升级）安全运营平台趋向统一集成、数智驱动的转型升级面对日益复杂的网络威胁和不断提升的安全运营要求，传统的 SOC、态势感知或 XDR 平台普遍面临数据孤岛、分析效率低下、响应速度慢、自动化程度不足等挑战。为应对这些挑战，国内安全运营平台正经历一场深刻的数智化转型，朝着统一集成、数据驱动、AI 赋能的方向发展。SOC 正向数智一体化升级这种转型以安全大数

146、据为基础，以 AI 技术为核心驱动力，深度集成 SOAR 等多种安全能力，旨在实现数据59第五章国内外 ISOC 发展现状驱动的威胁检测、智能化的事件分析与研判、自动化的响应处置以及人机协同的运营模式，最终构建起覆盖“事前预防、事中检测与响应、事后总结与改进”全生命周期的闭环安全运营体系的统一集成平台。数智化安全运营平台的核心理念国内各大安全厂商都积极投身于数智化安全运营平台的建设浪潮中，并结合自身优势推出了各特色的产品和解决方案。厂商案例厂商案例亚信安全致力于打造“一个平台，全网管理”的运营管理理念，强调通过统一平台实现全网安全数据的采集、分析和指令下发，并积极探索大模型技术在安全运营各个

147、环节的应用。奇安信则将 AI 技术与现有安全体系深度融合，构建了 AISOC，并与 NGSOC 平台紧密结合，实现数据共享、能力互补，其 QAX-GPT 安全机器人更是将大模型技术应用于威胁分析、事件调查和响应决策支持。碳泽注重安全运营流程的自动化，通过自主研发的 SOAR 平台实现攻防两端的场景剧本自动化，并集成AI 驱动的异常检测模型。通过响应流程剧本化满足智能处置各类安全事件的需求，利用自主研发的 SOAR 安全自动化编排平台实60第五章国内外 ISOC 发展现状2）AI 应用创新呈现百花齐放的态势国内安全厂商积极拥抱 AI 技术，将其与安全运营的各个环节深度融合，推动安全运营向自动化

148、、智能化方向发展。各厂商基于自身的技术积累、产品优势和对客户需求的理解，纷纷推出各具特色的 AI 创新应用，呈现出百花齐放的态势。AI 应用的广泛度和成熟度各厂商结合自身优势，在安全运营的各细分领域进行 AI 应用的创新。现攻防两端的场景剧本自动化，并通过集成了 AI 驱动的异常检测模型实现全链路威胁检测。神州泰岳强调多源异构安全数据的自动化融合，构建全面的安全数据中心，并利用其 Ultra-SOAR平台整合安全要素，实现海量安全数据的智能分析和安全运营的闭环管理。61第五章国内外 ISOC 发展现状AI 创新应用在威胁检测方面，AI 技术的应用已相对成熟，厂商普遍将机器学习、深度学习等技术

149、融入 EDR、NDR/NTA、UEBA 等产品，构建 AI 驱动的威胁检测引擎，有效提升对未知威胁、高级威胁和异常行为的检测能力。在安全事件分析与调查方面，AI 技术正快速发展，厂商利用 NLP、知识图谱、机器学习等技术，自动化进行信息收集、关联分析、攻击路径还原、根本原因分析等，提高分析效率和准确性。自动化响应是 AI 应用的另一大热点，SOAR 平台与 AI 技术的结合日益紧密，AI 智能体开始发挥重要作用，实现安全事件的快速响应和处置，缩短响应时间，减少人工干预。厂商案例厂商案例亚信安全在其新一代 XDR 平台中利用 AI 技术覆盖了 12 大类安全领域的 100 多个高级威胁检测场景。

150、神州泰岳利用神经网络进行钓鱼检测和挖矿检测。碳泽利用 AI 驱动的异常检测模型进行全序列威胁检测。厂商案例厂商案例奇安信的 QAX-GPT 的智能调查功能可通过智能化和自动化的调查流程，快速定位安全事件的根源。碳泽利用 AI 驱动的异常检测模型进行全序列威胁检测和事件调查。62第五章国内外 ISOC 发展现状3）智能化应用效果已经初见成效国内 ISOC 的建设和应用已取得初步成效，在多个方面展现出显著优势，特别是在告警降噪、安全事件分析、自动化响应、数据安全和运营管理等方面带来了一定的应用效果。ISOC 应用实施效果根据安全牛 2025 年对厂商资料分析，主要的应用效果包括：告警降噪能力大幅

151、提升（如亚信安全 XDR 平台智能过滤 98%无效告警，奇安信 AISOC 提高告警准确率 80%）、安全事件分析效率显著提高（如碳泽千乘平台实时推演攻击链，亚信安全 XDR 平台溯源效率提升 80%）、事件响应实效大幅加强（如亚信安全 XDR 平台人工调查时间减少 93%，碳泽千乘平台攻击响应时效提升 97%）、数据安全能力显著提升（如碳泽千乘平台实现交易数据自动标注，数据拓扑效率提升 40 倍）、安全事件处理效率大幅提高（如奇安信 AISOC 单个事件响应效率提升约 80%，神州泰岳 Ultra-SOMC 效率提升 96%）、安全运营管理效果显著提升（如奇安信 AISOC厂商案例厂商案例碳

152、泽则集中于通过 AI 驱动的异常检测模型和场景自动化，实现全流程威胁检测和智能执行，其自动化场景已覆盖智能电网安全运营、自动化模拟攻击、自动化邮件安全等 100 多个场景。亚信安全的新一代 XDR 平台支持一键封禁、隔离主机等自动化响应操作。奇安信的 QAX-GPT 可以根据事件和严重程度，自动生成并执行最佳的响应策略。各厂商还结合自身优势，在数据安全、代码安全、DevSecOps、业务安全等细分领域进行 AI 应用创新。63第五章国内外 ISOC 发展现状单日工作成果提升数倍，碳泽千乘平台合规覆盖度大幅增加）。请注意，该效果数据来源于部分案例或特定场景，实际效果受到多种因素的影响，例如企业

153、的行业特点、IT 架构、安全体系成熟度、数据质量、安全团队的技能水平，该数据仅供参考，并不代表所有企业都能取得类似的效果。4）大模型与基础大模型与基础 AIAI 技术协同并进，共筑安全运营智能化基石技术协同并进，共筑安全运营智能化基石国内安全厂商正积极探索 AI 大模型与基础 AI 技术在安全运营中的协同应用，构建“大模型+基础 AI 技术”的混合架构模式，以充分发挥各自优势，实现更高效、更智能的安全运营。大模型与基础 AI 技术混合架构大语言模型（LLM）凭借其强大的自然语言处理、知识整合、逻辑推理和内容生成能力，在威胁情报分析、事件安全理解与调查、安全策略生成与优化建议、智能安全问答系统、

154、自动化报告生成等方面应用相对集中。然而，受限于安全领域的特殊性，通用大模型在安全专业知识、数据安全、可解释性等方面仍存在不足，因此，ISOCISOC 应用效果应用效果告警降噪（平均降噪率80%）告警准确率（提高80%）事件分析效率（部分场景提升80%）响应时效（缩短至分钟级甚至秒级）数据分类分级（识别准确率90%）运营管理成本（部分场景节约50%）64第五章国内外 ISOC 发展现状将其与安全垂域大模型或针对特定任务的基础 AI 技术相结合，正成为市场探索的主流模式。机器学习和深度学习的“基础 AI 技术”在安全运营中的应用已较为广泛和成熟，通常针对特定任务进行，具有资源消耗低、响应速度快、

155、可解释性强、数据依赖性较低、部署灵活性等优势，主要应用于威胁检测、UEBA、数据处理与分析等场景。“大模型+基础 AI 技术”的混合架构，可以实现优势互补：大模型负责全局分析、复杂推理、知识问答、安全编排等，提供宏观决策支持；基础 AI 技术负责具体的威胁检测、异常识别、风险评估等任务，提供快速、准确的检测结果。5 5）AIAI 智能体是安全运营的未来方向，当前仍处于探索期智能体是安全运营的未来方向，当前仍处于探索期AI 智能体作为能够自主感知环境、进行思考和推理、做出决策并采取行动以实现特定目标的智能应用，代表了安全运营自动化发展的未来重要方向。AI Agent 具备自主性、反应性、主动性、

156、学习能力和推理能力等关键特征，可以模拟人类安全专家的模式，在安全运营中发挥行为更主动、更智能的作用。厂商案例厂商案例绿盟科技利用风云卫大模型实现智能化预警、日志网络攻击分析等功能。奇安信利用 LLM 大模型实现自然语言交互，提供智能化搜索、威胁推演、资产体检和运营管理等功能。神州泰岳则利用安全大模型实现安全问答。厂商案例厂商案例新华三打造了 AIGC 生成式多模态安全大模型和安全评估模型等大模型，结合安全告警模型、安全告警优化模型、安全事件模型、成熟度评估模型、健康度评分模型等构成一个整体的运营调度平台架构，并在安全事件检测方面使用基础 AI 技术。其他厂商，如观安信息、联通数科、聚铭网络、安

157、致远等厂商都在采用或探索这种“大模型+基础 AI 技术”混合架构模式65第五章国内外 ISOC 发展现状AI 智能体是未来的方向目前，AI 智能体的应用主要集中在自动化安全响应、辅助安全调查和安全运营流程优化等方面。然而，更高级的、具备自主决策和主动威胁防御能力的 AI Agent 应用仍在探索中，技术成熟度、数据质量、可解释性、安全性、成本等方面的挑战仍有待解决。未来，随着技术的进步和数据的积累，以及对 AI 智能体的持续探索，AI Agent 将在安全运营中发挥越来越重要的作用，推动运营向更高层次的自动化、智能化、自主化发展。6 6）DeepSeekDeepSeek 正成为流行趋势，并与

158、各安全垂域大模型结合正成为流行趋势，并与各安全垂域大模型结合通用大语言模型（以 DeepSeek 等开源模型为代表）拥有强大的自然语言理解和生成能力、广泛的通用知识以及零样本/少样本学习能力，可以有效赋予安全问答、报告生成、威胁情报分析等场景。然而，通用 LLM在安全专业知识等方面存在不足。因此，国内安全厂商积极探索将通用 LLM 与安全垂域大模型（经过安全数据训练）或基础 AI 技术结合的“双模型”或多模型架构，成为主流模式。这种模式下，通用 LLM 和安全垂域大模型可以协同工作，优势互补。厂商案例厂商案例奇安信推出了告警关联智能体、溯源调查智能体等，用于告警的关联分析和事件的溯源调查；碳泽

159、将 AI 智能体融入工作流可视化编辑的步骤中，增强告警智能处理能力、自动化威胁情报分析、优化安全流程编排以及提升决策支持。安恒信息针对主机类告警研发了丰富的研判智能体，以及数据安全类智能体。绿盟科技、探真科技、众智维、聚铭网络、掌数科技等厂商也在积极探索 AI 智能体的应用。66第五章国内外 ISOC 发展现状这种混合架构潜力巨大，有望在未来推动安全运营向更高层次发展。DeepSeekDeepSeek安全垂域大模型安全垂域大模型“双模型双模型”或多模型架构或多模型架构强大的自然语言理解和生成能力：可以用于安全知识问答、安全生成报告、威胁情报分析等。广泛的通用知识：可以提供更丰富的上下文信息，

160、帮助理解安全事件。零样本/少样本学习能力：可以通过少量样本或样本快速适应新的安全任务。更强的安全专业知识：通过大量安全数据（例如安全报告、漏洞信息、威胁情报等）的训练，更熟练地处理安全相关的任务。更高的精度和可靠性：在安全领域上，经过改装的安全领域大模型通常比通用大模型具有更高的精度和可靠性。更符合安全合规性要求：安全领域大模型通常在企业内部部署，可以更好地保护数据安全和隐私。通用大模型：负责处理自然语言交互、提供通用知识、生成报告等。安全领域大模型：负责进行威胁检测、事件分析、风险评估、响应决策等。协同的工作：通用大模型可以将安全分析师的自然语言查询转化为格式化查询语句，安全领域大模型根据查

161、询语句进行分析和推理，将结果返回给通用大模型，由通用大模型以自然语言的形式呈现给安全分析师。国内许多安全厂商已经在混合 AI 架构方面进行了积极探索和实践，并在威胁情报分析、安全事件理解与调查、安全策略生成、智能问答、报告生成等多个安全运营场景中展现出巨大潜力。厂商案例厂商案例绿盟科技将 DeepSeek 作为基础模型，并与自研的风云卫安全垂域领域大模型结合，构建双模型驱动的AI 安全运营体系；亚信安全积极探索结合 DeepSeek 等开源大模型，同时也在开发自己的安全领域大模型。浪潮云等其他厂商也在积极研究 DeepSeek 等开源大模型，并将其与自身的大模型平台相结合。67第五章国内外

162、ISOC 发展现状未来，随着 LLM 技术的不断发展和安全领域数据的不断积累，大模型与领域模型协同的混合 AI 架构将在安全运营中发挥越来越重要的作用，推动安全运营向更高层次的智能化发展。7 7）威胁情报应用得到普及，）威胁情报应用得到普及，AIAI 赋能情报分析和生成赋能情报分析和生成威胁情报已成为现代安全运营驾驶员的核心要素。厂商普遍认识到其在主动防御、威胁检测、事件响应、风险评估、安全决策等方面的关键价值，将其广泛集成到各自的安全产品和解决方案中。人工智能技术，特别是自然处理语言（NLP）、机器学习和知识图谱，正在改变威胁情报的生产、分析和应用方式。尤其是 AI Agent技术，可以自动

163、化地从多个来源收集、处理威胁情报，提取 IOC、识别攻击者 TTP、评估情报可信度，并利用知识图谱进行关联分析，构建威胁情报知识图谱。尤其是人工智能技术，特别是自然语言处理（NLP）、机器学习和知识图谱，正在改变威胁情报的生产、分析和应用方式。AI 智能体可以自动化地从多个来源（包括安全报告、博客、论坛、暗网、威胁情报共享平台、商业威胁情报源等）收集威胁情报，并进行清洗、去重、标准化、格式化等处理。利用 NLP 技术，可以从非结构化的威胁情报数据中提取关键信息，例如 IOC（威胁指标）、攻击者的 TTP（战术、技术和程序）、漏洞信息、受影响的资产等。机器学习模型则可以对威胁情报的可信度、相关性

164、、及时性、准确性等进行评估，并进行优先级排序，帮助安全分析师筛选出高质量的威胁情报。知识图谱技术可以将不同来源的威胁情报关联起来，构建威胁情报知识图谱，形成更全面的威胁情报视图，并进行更深入的关联分析，例如发现攻击者之间的联系、识别攻击活动的模式等。厂商案例厂商案例联通数科依托权威的情报运营专家团队，结合 AI 技术，提供高质量的威胁情报服务，辅助情报的生成和分析，并为客户提供精准的安全决策支持。观安信息利用大模型泛化能力构建威胁情报智能体，实现对大量文件和专业情报报告关键信息的提取，实现对新型威胁行为的精确检测。除此之外，奇安信、安恒信息、绿盟科技、神州泰岳等厂商也都在其安全产品和解决方案中

165、的各个环节中广泛应用威胁情报，并将其广泛集成到各自的安全产品、平台和解决方案中。68第五章国内外 ISOC 发展现状8 8）低代码）低代码/零代码零代码 AIAI 平台加速平台加速 ISOCISOC 智能化落地智能化落地为了降低 AI 在安全运营中应用的技术门槛，提高效率和灵活性，并减少对专业 AI 人才的依赖，低代码/零代码 AI 平台正成为 ISOC 建设的重要趋势。低代码/零代码 AI 编辑平台提供可视化、拖拽式、配置化的界面，使安全分析师等非 AI 专家能够构建、定制和部署 AI 驱动的安全运营应用，例如可视化编排 AI 模型、安全运营流程和 SOAR 自动化脚本，利用预置的 AI

166、模型和组件，简化 AI 模型训练和调优等。低代码低代码/零代码零代码 AIAI 平台的核心能力包括平台的核心能力包括可视化 AI 编排，允许用户通过图形化界面将预置的 AI 模型、安全组件和逻辑控制组件进行拖拽式组合，构建自定义的 AI 分析流程和自动化响应流程；提供丰富的预置 AI 模型和安全组件，涵盖威胁检测、事件分析、响应处置、威胁狩猎等多个安全运营场景，用户可以直接使用或进行少量修改即可满足需求；自动化数据处理，提供自动化的数据预处理、特征提取等功能，简化数据准备工作；简化模型训练和调优（可选），一些平台提供简化的 AI 模型训练和调优工具，允许用户使用自己的数据对模型进行微调；快速部

167、署和集成，支持将构建好的 AI 应用快速部署到 ISOC 环境中，并与现有的安全平台（例如 SIEM、SOAR、EDR 等）进行集成；以及协同厂商案例厂商案例碳泽的千乘平台提供了低代码的 AI+SOAR 编辑平台，允许用户通过可视化界面编排多智能体系统应用，并将 AI 模型和自动化流程融入工作流中。安恒信息的智能体编辑平台支持零代码和低代码开发智能体，推动了安全运营的定制化和智能化。众智维致力于将人工流程转变为自动化流程，并将自动化流程分解为剧本类的产品，实现开箱即用。除此之外，掌数科技、睿安致远浪潮云和观安信息也分别提供了低代码 AI 智能体开发平台，并推出了一系列相关产品和解决方案。69第

168、五章国内外 ISOC 发展现状的人机交互，提供友好的人机交互界面，支持安全分析师与 AI 协同工作。未来，低代码/零代码 AI 平台将朝着更强的 AI 能力、更丰富的预置组件、更灵活的定制化能力、更好的可解释性、更开放的生态等方向发展，并在 ISOC 建设中发挥越来越重要的作用。9 9）安全运营迈向量化管理，构建可度量的安全）安全运营迈向量化管理，构建可度量的安全安全运营的量化管理已成为智能化安全运营中心（ISOC）建设的重要趋势和核心特征。通过建立一套科学、全面、可落地的安全运营指标体系，ISOC 能够对安全运营的各个环节进行量化评估、持续监控和数据驱动的优化，实现安全运营效果的可简化、可

169、评估、可改进、可展示，并为安全决策、资源分配和投资规划提供监测、准确的数据支撑。这些指标涵盖风险、检测、分析、运营、管理、业务等多个环节。技术在指标的自动化采集、分析标准化、可视化呈现以及决策支持方面发挥着关键作用。国内安全厂商正在积极探索安全运营的量化管理，并将其融入 ISOC 解决方案中。安全运营量化管理的核心在于构建全面的指标体系。这些指标应覆盖安全运营的多个方面，例如风险指标（资产风险评分、漏洞风险评分、威胁风险评分、攻击路径风险评分等）、检测指标（威胁检测率、告警准确率、误报率、漏报率、平均检测时间 MTTD 等）、响应指标（平均响应时间 MTTR、自动化响应率、事件处置完成率、事件

170、关闭率等）、运营指标（安全分析师工作负荷、告警处理效率、SOAR 剧本执行效率、安全运营成本等）、管理指标（安全策略符合率、安全配置合规率、漏洞修复率、安全意识培训覆盖率等）以及业务指标（安全事件对业务的影响、安全运营对业务的支撑效果等）。此外，安全运营成熟度指标也应纳入体系，以衡量安全运营整体的成熟度水平。1010）云地协同：智能化安全运营平台的新常态）云地协同：智能化安全运营平台的新常态随着云计算的普及和企业数字化转型的深入，ISOC 正朝着云地协同的管理模式发展。云地协同模式将云端的安全能力（如 AI 分析、威胁情报、安全专家、弹性算力等）与本地的安全设备和系统进行深度集成（例如防火墙、

171、IDS/IPS、EDR、NDR、SIEM 等），实现优势互补、协同联动，构建更全面、更智能、更高效、增加弹性的安全运营体系。云地协同主要有云端分析+本地响应、云端情报+本地检测、云端管理+本地执行等模式。厂商案例厂商案例奇安信 AISOC 在某案例中定制了 24 个安全运营指标，涵盖效率提升、团队投入和成果等多个维度，覆盖资产风险、威胁告警、安全事件、人员配置、工作产出等安全运营工作，全面评估安全运营效果，辅助管理者进行安全决策和投资规划。绿盟科技在网络安全运营中心建设中设计运营度量的指标体系，并通过指标对比验证来持续提升中心能力。新华三提出了“健康度”和“成熟度”双指标体系，量化评估安全运营

172、工作的开展情况和安全运营效果。联通数科则构建了实战化安全运营量化指标体系，包括防守得分指标、攻击得分指标、上报及时率指标、威胁情报准确率指标、漏洞发现与评估指标等，更贴近实战攻防场景。70第五章国内外 ISOC 发展现状云地协同模式具有显著的优势。首先，它能够充分利用云平台的弹性可扩展的计算和存储资源，应对安全数据量的激增和安全分析的复杂性。其次，云平台可以提供更强大的 AI 分析能力，例如利用云端的大规模数据集训练更精准的 AI 模型。此外，云端可以汇聚来自全球各地的威胁情报，并将其应用到本地安全设备和系统中，提高威胁检测的准确性和时效性。云平台还可以提供安全专家的远程支持，帮助企业解决复

173、杂的安全问题。对于企业而言，云地协同模式可以降低本地安全运维的成本，提高安全运营的效率，实现对云端和本地安全资源的统一管理和监控，并利用云端的威胁情报和 AI 分析能力，实现更快速的威胁检测和响应。同时，云平台可以持续更新安全策略和 AI 模型，使本地安全防御能力保持最新。目前，云地协同主要有以下几种模式：云端分析+本地响应，即本地安全设备收集数据并上传到云端进行AI 分析，云端将分析结果和响应指令下发到本地安全设备执行；云端情报+本地检测，即云端提供威胁情报，本地安全设备利用这些情报进行威胁检测；云端管理+本地执行，即通过云端平台对本地安全设备进行统一管理和配置，本地安全设备执行具体的安全策

174、略；部分云化，即将部分安全功能（例如日志存储、UEBA、威胁情报分析等）部署在云端，本地部署核心安全能力；以及完全云化，即将所有安全功能都部署在云端，通过云服务的方式提供安全能力。国内各大安全厂商都在积极布局云地协同的安全运营平台。厂商案例厂商案例亚信安全的新一代 XDR 平台提供云网端融合分析能力，实现了云端分析和本地响应的协同。绿盟科技提供云端监控防护能力，并将行业云定位为未来重点发展方向。新华三与运营商共同推出的“安全大脑”则发挥了云端运维的便捷性和易用性。联通数科、浪潮云、探真科技、聚铭网络等也都采用云地协同模式，例如本地负责实时检测，告警事件上报云端，云端专家进行精准研判，并下发研判

175、规则至本地。71第六章 ISOC 的建设指南第第六六章章 ISOCISOC 的的建设指南建设指南构建高效智能的安全运营中心（ISOC）是企业应对复杂网络安全挑战、保障数字化转型成功的关键。ISOC的建设并非一蹴而就，而是需要结合企业自身的安全成熟度、业务需求、技术基础和资源投入，进行战略规划、整体设计、分步实施和持续优化。本章将提供一个 ISOC 建设的实施框架，包括能力成熟度模型、建设原则，并针对不同成熟度阶段的企业给出具体的建设方案和建议，旨在帮助企业制定切实可行的 ISOC 建设路线图，逐步提升安全运营能力。6.16.1 能力成熟度模型能力成熟度模型为了帮助企业清晰地定位自身安全运营水平

176、，并规划 ISOC 的演进路径，我们引入 ISOC 能力成熟度模型。该模型从低到高划分为五个等级，清晰地展现了 ISOC 从基础建设到智能化、自主化运营的演进路径及其核心特征。组织可以根据自身的实际情况，参考该模型，评估当前所处阶段，制定符合自身发展需求的 ISOC 建设方案，并循序渐进地提升安全运营能力。ISOC 建设成熟度模型等级等级 1 1：初始级阶段：初始级阶段安全运营处于被动和无序状态，主要依靠人工经验和基础安全设备（如防火墙、杀毒软件）。缺乏系统化的安全能力、规范的流程和专业的人员。安全工具之间缺乏集成，数据孤立。风险识别主要依靠已知漏洞信息和人工经验，难以应对复杂和未知威胁。事件

177、响应缺乏标准化流程，响应时间长，效果难以保证。安全管理缺72第六章 ISOC 的建设指南乏明确的策略和规范。员工普遍安全意识薄弱。阶段特点：阶段特点：主要依赖防火墙、IDS 等传统安全设备进行基于规则的威胁检测。缺乏高级分析能力，难以应对复杂威胁和未知威胁。并且安全工具之间缺乏集成，数据孤立。风险识别主要依靠人工经验和已知漏洞信息进行风险识别。缺乏系统化的资产管理和漏洞管理方法。难以识别未知风险和新兴威胁。检测分析主要依靠基础安全设备的告警，缺乏深入分析能力误报率高，难以区分真实威胁和正常行为。缺乏对安全数据的有效利用。事件响应缺乏标准化流程，响应时间长，效果难以保证。事件处理主要依靠人工分析

178、和决策，缺乏自动化工具支持。难以进行事件溯源和根本原因分析。安全管理缺乏明确的安全策略和安全流程规范。主要依靠经验和临时措施，缺乏系统性和持续性。依赖个人经验，缺乏一致性和可重复性。安全团队规模较小，人员技能参差不齐。缺乏数据分析、威胁情报分析、安全自动化和 AI 相关技能。安全意识薄弱，缺乏对安全重要性的认识和培训。等级等级 2 2：数据管理级阶段：数据管理级阶段开始关注数据的作用，引入 SIEM 等安全工具，建立基本的安全流程，例如日志集中管理、基于规则的威胁检测等。但安全能力仍然有限，数据利用率不高，对威胁的响应主要依赖人工分析和决策。风险识别开始引入漏洞扫描等工具，但缺乏对资产和暴露面

179、的全面管理。安全管理开始关注数据安全和隐私保护，但缺乏具体的措施和规范。安全团队开始接受培训，技能有所提升，但缺乏深入的专业知识。阶段特点：阶段特点：部署 SIEM 等安全工具，开始收集和集中安全数据。能够进行一些基于规则的威胁检测和告警。初步应用自动化脚本，但缺乏高级分析能力和智能编排。风险识别开始引入漏洞扫描等工具，但缺乏对资产和暴露面的全面管理。能够识别一些已知的安全风险，但对未知风险的识别能力仍然不足。检测分析能够通过 SIEM 等工具进行安全数据的集中存储和查询。能够进行一些基于规则的简单分析和告警，但误报率仍然较高。数据质量和利用率有待提高。事件响应建立基本的事件响应流程，但流程执

180、行效果不稳定。仍然依赖人工分析和决策，缺乏智能化响应能力。安全管理开始关注数据安全和隐私保护，但缺乏具体的措施和规范。建立初步的安全策略，但执行力度不够，缺乏持续改进机制。建立一些基本的安全流程，如漏洞扫描、安全事件响应流程等。但流程执行的规范性有所提高，仍然依赖人工干预和规则触发。并且流程之间缺乏有效的协同。安全团队开始接受安全培训，技能水平有所提升。开始关注数据分析和安全工具的使用，但缺乏深入的专业知识。认识到安全数据的价值，但缺乏有效利用数据的能力。等级等级 3 3：自动化阶段：自动化阶段73第六章 ISOC 的建设指南建立了较为完善的安全能力体系和规范的流程。集成多源安全数据，建立较为

181、完善的安全数据平台。利用威胁情报平台和 UEBA 等技术进行行为分析和关联分析。开始应用机器学习进行异常检测，提高对未知威胁的检测能力。利用 SOAR 平台实现部分流程的自动化，如威胁情报收集、事件响应剧本执行等。事件响应流程规范化，并得到有效执行。安全团队具备较高的专业技能，能够对安全数据进行有效处理和分析，提取有价值的信息和情报。初步实现人机协作。阶段特点：阶段特点：集成多源安全数据，建立较为完善的安全数据平台。利用威胁情报平台和 UEBA 等技术进行行为分析和关联分析。开始应用机器学习进行异常检测，提高对未知威胁的检测能力。利用 SOAR 平台实现部分流程的自动化。如威胁情报收集、事件响

182、应剧本执行等。事件响应建立规范的事件响应流程，并得到有效执行。能够对安全事件进行初步的调查和分析，确定事件的影响范围和初步原因。利用 SOAR 平台实现部分事件响应流程的自动化。安全管理建立较为完善的安全策略和规范，并得到有效执行。建立初步的安全运营指标体系，能够对安全运营的效率和效果进行初步评估。开始使用安全可视化技术。建立规范的安全流程，并得到有效执行。流程之间实现较好的协同，提高安全运营的效率。具备较高的专业技能的安全团队，包括安全工具使用、威胁分析、事件响应、数据分析等。如培养数据分析和威胁情报分析方面的专业人才。具备能提供辅助分析和自动化执行的工具或平台。风险识别建立较为完善的资产管

183、理和漏洞管理流程。能够基于威胁情报和行为分析进行风险识别。能够对风险进行初步的评估和优先级排序。检测分析能够对收集到的安全数据进行有效地处理和分析，提取有价值的信息和情报。结合规则、统计分析和机器学习进行威胁检测，提高检测准确率。能够进行一定程度的威胁情报分析和关联分析。等级等级 4 4：智能化赋能级：智能化赋能级广泛应用 AI 技术提升安全运营的智能化水平。深度学习等高级 AI 技术广泛应用于威胁检测、事件分析和响应。实现预测性安全，能够基于数据和知识预测未来的安全威胁。自动化编排和响应能力显著提升，开始具备自适应安全能力。能够对安全事件进行深入的调查和分析，发现事件的根本原因，并形成安全知

184、识库。安全团队具备较强的数据分析和 AI 应用能力，建立完善的人机协同机制，AI 系统能够为分析师提供数据驱动的决策支持，并自动化执行大量任务。阶段特点：阶段特点：深度学习等高级 AI 技术广泛应用于威胁检测、事件分析和响应。实现预测性安全，能够基于数据和知识预测未来的安全威胁。自动化编排和响应能力显著提升，实现自适应安全。风险识别能够基于数据和威胁情报进行风险预测和评估。AI 赋能的漏洞优先级排序和攻击面分析，能够更准确地识别高风险漏洞和攻击路径。广泛应用 AI 进行异常检测、未知威胁检测和深度分析。利用 UEBA、威胁狩猎等技术实现主动防御。AI 赋能的威胁情报分析和关联分析，能够更深入地

185、了解威胁的本质。大部分事件响应流程实现自动化，AI 赋能自动化响应处置。能够对安全事件进行深入的调查和分析，发现事件的根本原因，并形成安全知识库。74第六章 ISOC 的建设指南能够基于数据分析结果，对安全策略和流程进行持续优化。构建安全知识库，积累大量的安全运营经验，并能够通过 AI 技术进行知识发现和应用。安全团队具备较强的数据分析和 AI 应用能力，能够根据业务需求定制和优化 AI 模型。建立人机协同机制，AI 系统能够为分析师提供数据驱动的决策支持，并自动化执行大量任务。等级等级 5 5：智慧自主级：智慧自主级AI 成为安全运营的核心引擎，安全运营体系具备自学习、自演进能力，实现高度的

186、智能化和自动化。能够自主预测、检测、响应和防御威胁。安全运营流程能够根据数据分析结果自动调整和优化，实现自适应的智能化。实现安全运营的全流程自动化。安全团队具备强大的 AI 研发能力，实现人机高度协同，AI 系统能够像专家一样思考和行动，安全分析师主要负责战略规划、创新研究和复杂决策。安全运营成为组织的核心竞争力。阶段特点：阶段特点：AI 技术深度融入安全运营的各个方面，实现全方位的智能化。安全运营体系具备自学习、自演进能力，能够根据内外部环境的变化自动调整安全策略和流程。安全运营流程能够根据数据分析结果自动调整和优化，实现自适应的智能化。实现安全运营的全流程自动化，包括风险识别、检测分析、事

187、件响应和安全管理。安全团队具备强大的 AI 研发能力，能够自主开发和创新 AI 安全应用。实现人机高度协同，AI 系统能够像专家一样思考和行动，安全分析师主要负责战略规划、创新研究和复杂决策。风险识别 AI 深度融入风险识别，实现对风险的全面、主动、智能化的预测和评估。检测分析 AI 赋能全方位检测分析，能够发现数据中隐含的模式和关系，预测未来的安全趋势。能够对安全事件和威胁进行全面的关联分析和推理。事件响应流程能够自适应优化。AI 赋能全流程自动化响应处置，实现“无人值守”安全运营。安全运营体系具备自学习、自演进能力，能够根据内外部环境的变化自动调整安全策略和流程。实现安全运营的全流程智能化

188、管理，数据驱动持续优化。6.26.2 组织的组织的 ISOCISOC 建设原则建设原则ISOC 的建设应遵循以下关键原则，以确保项目成功落地，发挥预期价值，构建主动、智能、自适应的安全防御体系。75第六章 ISOC 的建设指南建设原则包括：建设原则包括：战略导向，风险导向：ISOC 建设必须与组织的整体战略、业务目标紧密对齐，并以业务安全需求为核心驱动力。同时，建设应以风险为导向，通过全面的风险评估确定建设重点和防御策略，确保安全投入聚焦于核心风险。整体规划，分步实施：ISOC 建设需要进行全面的顶层设计，包括总体架构、技术路线、建设目标、实施计划等。但实施过程应根据组织的实际情况，分阶段、有

189、重点地逐步推进，可以采用“试点先行、逐步推广”的方式，降低风险，积累经验。数据驱动，AI 赋能：数据是 ISOC 的基础，AI 是核心引擎。必须重视安全数据的全面采集、治理和利用，构建统一的安全数据湖。充分利用人工智能技术提升安全运营的智能化水平。平台支撑，能力集成：选择功能、性能、可扩展性、兼容性、安全性及成本效益较好的技术平台，实现各平台间的深度集成，打破数据孤岛和能力孤岛，实现数据共享和能力互补。人机协同，持续运营：充分发挥 AI 的优势和人类的智慧，构建高效的人机协同安全运营模式。明确AI 与分析师的角色分工，建立持续运营和优化机制。ISOC 不是一次性项目，而是一个需要持续投入和改进

190、的长期过程。安全合规，保障可靠：ISOC 建设必须符合国家相关法律法规和行业标准要求（如等级保护、数据安全法等）。采取必要的技术和管理措施保护数据安全和隐私。对 AI 模型进行充分的测试和验证，确保安全、可靠、可信，并建立完善的审计机制。循序渐进，注重实效：ISOC 建设应从解决最紧迫的安全问题入手，选择能够快速产生价值的场景进行试点，逐步扩大应用范围。注重实际效果，选择适合自身需求的技术和平台，避免盲目追求“高大上”，并定期对 ISOC 的建设和运营效果进行评估和优化。76第六章 ISOC 的建设指南6.36.3 不同成熟度组织的不同成熟度组织的 ISOCISOC 建设方案建设方案ISOC

191、的建设是一个持续优化的过程，需要根据组织的实际情况和安全需求的变化，不断调整和完善。以下针对不同成熟度阶段的组织，提供 ISOC 建设方案建议，组织应结合自身实际情况，参考方案并制定切实可行的 ISOC 建设路线图。6.3.16.3.1 初始级升级到管理级初始级升级到管理级主要目标是主要目标是建立基本的安全监控和响应能力，初步实现安全事件的集中管理和分析，提升对常见安全威胁的检测和响应效率，满足基本的合规性要求。1 1）建设内容：）建设内容：组建基础安全团队或引入服务：配备 1-2 名专职或兼职安全人员，明确其日常安全监控、事件分析和响应职责。进行基础网络安全知识和技能培训。对于资源有限的中小

192、型企业，可以考虑引入 MSSP 提供安全服务支持。部署 SIEM 平台并集中日志：选型：根据预算和需求选择合适的 SIEM 平台（开源或商业）。重点考察日志收集能力（覆盖防火墙、服务器、核心应用等）、存储、基础分析和报表功能。部署：推荐采用集中式部署。实施：配置数据源，确保关键日志（防火墙、IDS/IPS、服务器、核心业务系统日志、杀毒日志等）能够被有效采集、解析和存储。从 SIEM 平台自带的规则库开始，配置针对常见威胁（如暴力破解、端口扫描、已知恶意软件）的检测规则，并根据实际情况逐步调优，降低误报。配置基础的安全报表，用于日常监控和汇报。建立基本安全运营流程：制定清晰、简单的安全事件分类

193、分级标准（例如按类型、影响、紧急程度分级）。建立基础的事件响应流程（SOP），明确事件上报、初步分析、处置（如隔离、封禁）、记录和报告的步骤。2 2）考核指标：）考核指标：安全团队（或负责人）到位，完成初步培训。SIEM 平台稳定运行，关键日志接入率达到预期。事件响应流程建立并通过演练。常见威胁的检测率和响应效率相比之前有明显提升。4 4）案例案例77第六章 ISOC 的建设指南某公司建设案例某公司建设案例案例概况案例概况某制造公司一直以来面临着“安全无专人”的困境，网络安全管理较为薄弱，缺乏专业的安全团队和明确的安全职责划分。随着业务的发展和数字化转型的推进，公司意识到网络安全的重要性，决定

194、采取一系列措施提升整体安全运营能力。公司希望通过建立专业的安全团队、部署先进的技术平台、采集关键安全数据以及规范安全运营流程，全面提升网络安全防护能力，确保核心业务系统的安全稳定运行，同时有效应对各类安全威胁和事件。安全建设步骤安全建设步骤该制造公司安全建设包括建立安全团队、部署集中式 SIEM 平台、采集安全数据、建立安全运营管理流程四个主要步骤。1 1）建立具有明确职责的安全团队）建立具有明确职责的安全团队该制造公司为了改变“安全无专人”的现状，从现有的 IT 部门中，选拔了一位对网络安全有兴趣的人，具备一定基础的员工成为安全负责人，负责安全工作的整体规划、协调和监督的职责，成为安全建设的

195、“领头羊”。安全负责人与 IT 部门沟通了安全方面的职责。例如，服务器管理员则需要负责服务器的安全配置、漏洞修复和补丁管理；网络管理员则需要关注网络设备的安全配置、流量监控和预警78第六章 ISOC 的建设指南6.3.26.3.2 管理级升级到自动化级管理级升级到自动化级主要目标是建立完善的安全运营体系，实现安全事件的规范化管理和处置，提升安全运营的效率和可靠性，并开始应用威胁情报和自动化技术，向主动防御转变。1 1）建设内容：）建设内容：SIEM 平台深化应用：检测。通过这种方式，将安全责任划分到各个岗位，形成“人人有责”的安全队列。同时引入了外部安全服务，主要提供重要安全事件的事件应急响应

196、服务，帮助企业快速处理紧急安全事件。并制定了安全培训计划。培训内容包括安全基础知识、常见安全威胁以及安全事件响应流程等。2 2）部署）部署 SIEMSIEM 平台，集中安全日志平台，集中安全日志该制造公司由于 IT 环境相对简单，选择了集中式部署 SIEM 平台，并在数据中心部署了 SIEM 服务器。部署后，根据 SIEM 产品自带的规则库开始配置基本的安全事件检测规则。例如，配置针对暴力破解、端口扫描、恶意软件、异常登录等常见威胁的检测规则。此外，还配置了常用的安全报表，如安全事件统计报表、流量分析报表、安全报表等，以便向领导汇报安全情况。3 3）采集安全数据）采集安全数据SIEM 平台需要

197、采集足够的安全数据。对于该制造公司而言，采集的关键数据包括：网络边界数据：防火墙、IDS/IPS、WAF（Web 应用防火墙）等设备的日志和相关信息，可以帮助发现来自外部的网络攻击和入侵意图。核心业务系统数据：ERP、MES、OA 等核心业务系统的日志，可以帮助发现针对业务系统的攻击和异常操作。重要服务器数据：域控制器、文件服务器、数据库服务器等重要服务器的日志，可以帮助发现针对关键基础设施的攻击和异常行为。终端安全）：在员工使用的终端设备上安装杀毒软件，并集中收集杀毒日志。4 4）建立基本安全运营流程，规范事件处理）建立基本安全运营流程，规范事件处理安全负责人牵头建立了一套基本的安全运营流程

198、，以规范安全事件的处理，确保安全事件得到及时、有效地响应。首先，需要对安全事件进行分类分级，根据安全事件的类型（如恶意软件感染、网络入侵、数据泄露、拒绝服务攻击、内部威胁等）和影响范围、紧急程度等因素，将安全事件划分为不同的类别和级别（如高、中、低）。并建立一个明确的安全事件响应流程，包括事件上报、分析、执行和报告等阶段。一个简单的流程示例如下：安全分析师（或安全负责人）通过 SIEM 平台或其他途径获得安全告警，安全分析师对另外进行初步分析，确认是否为误报。如果确认为安全事件，安全分析人员根据事件类型和级别，执行相应的响应操作，如隔离受感染的主机、封禁恶意 IP 地址、通知相关人员等。事件处

199、理完成后，安全分析师记录事件处理过程和结果，并生成报告。79第六章 ISOC 的建设指南关联分析：重点提升 SIEM 的关联分析能力。根据业务场景和威胁情报，编写更复杂的关联规则，将来自不同安全设备的告警信息进行关联，发现多阶段攻击行为。规则优化：持续优化告警规则，降低误报率，提高检测准确性。可视化定制：定制安全运营仪表盘，展示关键指标（KPI）和安全态势。威胁情报平台（TIP）部署与应用：情报源选择：根据行业特点和威胁态势，选择合适的商业或开源威胁情报源。TIP 部署（可选）：如果情报源较多，可部署 TIP 平台进行统一管理。SIEM 集成：将威胁情报（IOCs,TTPs）与 SIEM 集成

200、，用于丰富事件上下文，提升检测准确性流程建立：建立威胁情报的收集、评估、处理、应用和共享流程。SOAR 平台部署与应用：选型与部署：选择合适的 SOAR 平台，并与 SIEM、EDR 等关键平台集成。剧本开发：从常见的、重复性高的事件响应场景（如恶意软件感染、钓鱼邮件、暴力破解）入手，开发自动化响应剧本。逐步自动化：先实现部分操作的自动化（如告警富化、生成工单、发送通知），再逐步实现更复杂的响应动作（如隔离、封禁）。关键技术：剧本编排、API 集成、自动化引擎。安全运营流程完善和优化：标准化：细化事件分类分级标准，完善事件响应流程，并将流程固化到 SOAR 平台中。协同：建立与 IT 运维、业

201、务部门的协同流程，例如漏洞修复、配置变更等。评估与优化：定期对安全运营流程进行演练、评估和优化。团队能力提升：培养安全分析师的关联分析、威胁情报分析、SOAR 剧本开发等能力。2 2）考核指标：）考核指标：安全团队能够熟练使用 SIEM、TIP 和 SOAR 平台。SIEM 误报率降低，威胁检测准确性提高。威胁情报得到有效利用。部分高频、重复性事件实现自动化响应，事件响应效率提升。安全运营流程文档化并有效执行。初步建立安全运营考核指标体系。3 3）案例案例80第六章 ISOC 的建设指南某企业智能化某企业智能化 SOARSOAR 平台建设案例平台建设案例案例概况案例概况某高科技企业随着业务的快

202、速发展和数字化转型的推进，面临着日益复杂的网络安全威胁。传统的安全运营模式已经难以应对当前的挑战，企业面临着日益增多的网络安全事件和有限的安全运营人员。为了提升事件响应效率，减轻安全团队的工作压力，该公司决定引入智能化的 SOAR（安全编排自动化与响应）平台，以提升整体的安全防护能力和运营效率。安全建设过程安全建设过程首先该公司识别了日常安全运营中重复性高、耗时且易出错的环节作为自动化的重要应用场景，例如恶意 IP 的封禁、病毒告警的初步处置、钓鱼邮件的响应等。在此基础上选择并进行 SOAR 平台的部署，选择平台时重点关注平台的集成性，确保其能够与目标场景需要的安全基础设施（如防火墙、EDR

203、终端安全系统、入侵检测系统、SIEM 系统等）以及 IT运维系统进行对接，利用安全组件提供的开放接口，将 SOAR 平台能够作为指挥枢纽，协调和调度各类安全工具执行自动化动作。在完成平台的基础部署和集成后，公司针对重要应用场景定义和编排安全剧本。基于预先制定的安全事件处置预案，利用可视化流程编辑器，将人工分析和处置步骤配置为标准化的自动化工作流程。例如，针对检测到的恶意 IP 攻击场景，创建恶意 IP 的封禁剧本，该剧本能够自动从告警列表中提取恶意 IP 信息，然后联动防火墙下发封堵策略，并记录整个处置过程。对于挖矿告警剧本，剧本可以自动将相关信息发送至 EDR 系统进行风险验证，并根据 ED

204、R 的反馈联动防火墙封禁相关的域名或 IP地址。为了应对不同的安全事件类型，持续开发了一系列的自动化剧本，覆盖了如 Web 攻击、暴力破解、病毒木马、非法外联、漏洞利用等常见威胁。81第六章 ISOC 的建设指南为了保证自动化响应的可靠性，在剧本上线前进行了充分的测试，并进行监控和调优。此外，因为意识到自动化并非适用于所有场景，因此 SOAR 平台也支持手动触发和人工干预，对于需要人工判定的复杂事件或未知事件，SOAR 平台通过下发工单并提供执行概览，协助人工判断与执行。通过 SOAR 平台的应用，该公司显著提升了安全事件的响应速度和准确性，减轻安全运营人员的工作量，最终实现安全事件响应流程的

205、自动化闭环。随着经验的积累，后期准备基于 SOAR 平台开发更复杂的自动化评估，例如与威胁情报集成形成自动化威胁狩猎剧本、与漏洞管理系统集成形成自动化漏洞处置剧本。某电商企业的某电商企业的 SOARSOAR 应用实践：自动化响应钓鱼攻击应用实践：自动化响应钓鱼攻击案例概况案例概况某电商企业作为互联网行业的典型代表，面临着日益复杂和频繁的网络安全威胁，尤其是钓鱼邮件攻击。钓鱼邮件攻击不仅可能导致用户数据泄露，还可能引发更严重的安全事件，如账户被盗用、恶意软件传播等，对企业的声誉和业务运营造成严重影响。为了有效应对这些威胁，提升安全运营效率，降低数据泄漏风险，该电商企业决定引入 SOAR 平台，实

206、现钓鱼邮件攻击事件的自动化响应。在 SOAR 平台部署和配置过程中，该公司首先将 SOAR 与已有的安全平台进行了深度集成。通过 API接口，SOAR 平台与 SIEM 平台、EDR 平台、邮件安全网关以及威胁情报平台进行对接，使 SOAR 平台能够获取 SIEM 的信息、EDR 的终端数据、邮件网关的邮件检测结果以及 TIP 的威胁情报，并能够调用这些平台的功能执行响应操作。82第六章 ISOC 的建设指南6.3.36.3.3 自动化自动化级级升级为智能辅助级升级为智能辅助级完成集成后，安全团队针对钓鱼邮件攻击场景创建了一个名为“钓鱼邮件自动响应”的流程。该流程以 SIEM 检测到的钓鱼邮件

207、相关事件作为触发，一旦触发，就会自动执行一系列预定义的操作。首先，SOAR 平台会自动从 SIEM 获取有关事件的详细信息，包括邮件主题、发件人、方案、URL 链接、附件信息等。从邮件内容、URL 链接、附件中提取出关键词，例如发件人邮箱地址、URL、域名等。接着，SOAR 平台会自动查询威胁情报平台，判断这些 IOC 是否与已知的恶意 IOC 匹配。如果是恶意的，那么通过 IAM（身份和访问管理）系统接口禁止出访的用户账号，防止攻击者利用被盗取的权限进行非法访问。最后，SOAR 平台会自动向安全分析师和出访的员工发送通知，告知事件详情并已采取的措施。如果安全分析师判断为中风险事件，则给用户发

208、送安全提醒。最后，SOAR 平台会自动记录所有执行的操作和结果，并生成事件响应报告，为安全团队的事后分析和审计提供响应。在“钓鱼邮件自动响应”后，该公司的钓鱼邮件攻击事件响应效率得到了显著提升，从收到通知到执行完成隔离、阻止等关键任务。响应整个过程往往只需要几十甚至几个操作，远快于过去的人工响应操作方式。大部分响应操作都由 SOAR 提供平台自动执行，安全分析师只需进行审核和确认，很大程度上减轻了分析师工作负担，也有效降低了人犯错误的可能性，使响应更规范、更可靠，并且有效阻止了钓鱼攻击的进一步泄露，降低了数据泄露和业务中断的风险。83第六章 ISOC 的建设指南主要目标是主要目标是建立量化的安

209、全运营体系，实现安全运营的精细化管理和持续改进，引入 AI 技术提升对未知威胁、高级威胁和内部威胁的检测、分析和响应能力，实现人机协同。1 1）建设内容：）建设内容：构建安全大数据平台：数据湖/增强型 SIEM：升级或构建能够处理海量、异构数据的安全数据湖或增强型 SIEM 平台。数据治理：建立完善的数据治理体系，确保数据质量。数据处理能力：具备实时流处理和离线批处理能力。引入 AI 安全分析平台。选择采购商业 AI 安全分析平台，或基于开源框架自建。模型训练与优化：需要利用企业自身的安全数据对 AI 模型进行训练和优化。从成熟的 AI 应用场景（如告警降噪、恶意软件检测）开始试点，逐步扩展应

210、用范围。部署 UEBA 平台：接入足够的数据源（如 AD 日志、VPN 日志、数据库日志、EDR 数据等），确保基线模型的准确性；将 UEBA 告警与 SIEM、SOAR 集成，实现联动响应。深化 SOAR 应用与智能化：复杂剧本：开发更复杂的自动化响应剧本，例如自动化威胁狩猎、自动化漏洞修复等。AI 辅助决策：AI Agent 可以根据事件上下文推荐最佳响应剧本或响应措施。自适应响应：AI Agent 可以根据响应效果动态调整响应策略。建立量化指标体系与持续改进：指标定义与采集：定义关键安全运营指标（KPIs），如 MTTD,MTTR，告警准确率，漏洞修复时间等，并利用平台自动化采集。分析与

211、优化：利用 AI 技术对指标数据进行分析，识别瓶颈，驱动流程和策略的持续改进。绩效关联：将量化指标与团队绩效挂钩，激励团队提升。2 2）考核指标：）考核指标：安全团队具备较强的安全分析、事件调查和基础 AI 应用能力。SOAR 平台广泛应用，大部分安全事件响应流程实现自动化。UEBA 平台有效运行，能够检测到内部威胁和未知威胁。量化的安全运营指标体系建立并常态化运行。安全运营效率和效果（如 MTTD、MTTR、准确率）得到显著提升。3 3）构建威胁情报平台案例构建威胁情报平台案例84第六章 ISOC 的建设指南某能源企业的威胁情报应用实践某能源企业的威胁情报应用实践案例概况案例概况某能源企业作

212、为关键基础设施行业的代表，面临着日益复杂和严峻的网络安全威胁。为了有效应对这些威胁，提升整体的安全防护能力，该企业决定在安全运营中引入威胁情报，并采取分阶段、分步骤的方式进行部署和应用。目标是通过威胁情报的引入和应用，提升威胁检测的准确性和效率，减少误报和漏报，增强安全运营的主动防御能力，并优化安全策略和监控措施。同时，企业希望借助威胁情报实现更高效的威胁狩猎，主动发现潜藏在企业网络中的威胁，从而更好地保护企业资产和业务安全。某能源企业在部署威胁情报时，他们采取了分阶段、分步骤的方式：情报源接入情报源接入该能源企业首先梳理了自身需要的威胁情报类型，包括恶意 IP 地址、恶意域名、恶意文件哈希、

213、漏洞信息、攻击组织信息（APT）、行业威胁情报等。然后，他们逐步接入了多个威胁情报源，如购买了某商业威胁情报、订阅了某开源威胁情报、并加入了能源行业的信息安全共享联盟，获取行业内的威胁情报，并且将安全团队在日常安全运营和事件响应流程中发现的威胁情报，也记录到威胁情报平台中，平台会自动对来自不同情报源的数据进行清洗、去重、标准化处理，将不同格式的情报数据转换为统一的格式，并提取出关键的 IOC。情报分析与评估情报分析与评估该能源企业的安全团队利用威胁情报平台提供的分析工具，对收集到的威胁情报进行分析与评估。如分析不同情报源之间的关联关系，例如，某个恶意 IP 地址是否与某个已知的攻击组织相关联。

214、分析威胁情报的时间分布和变化趋势，了解当前的威胁。并根据威胁信息的类型、来源、可信度等因素，评估其对企业资产的潜在威胁。情报应用情报应用该能源企业将威胁情报与 SIEM 平台、SOAR 平台以及防火墙、EDR 等安全设备进行了集成。首先，威胁情报平台将经过处理和评估的威胁情报（例如恶意 IP 地址、恶意域名、恶意文件等）提供给 SIEM 平台。SIEM 平台利用这些威胁情报，可以提升威胁检测的准确性和效率。例如，当 SIEM 平台检测到某个 IP地址与企业内部主机通信时，会自动查询威胁情报，判断该 IP 地址是否为已知的恶意 IP 地址。其次，威胁情报平台为 SOAR 平台的自动化响应脚本提供

215、威胁情报支持。例如，在处理钓鱼邮件攻击事件时，SOAR 平台可以自动查询威胁情报，判断邮件中的 URL 或附件是否为恶意。85第六章 ISOC 的建设指南4 4）构建）构建 AIAI 分析平台案例分析平台案例为了保证自动化响应的可靠性，在剧本上线前进行了充分的测试，并进行监控和调优。此外，因为意识到自动化并非适用于所有场景，因此 SOAR 平台也支持手动触发和人工干预，对于需要人工判定的复杂事件或未知事件，SOAR 平台通过下发工单并提供执行概览，协助人工判断与执行。通过 SOAR 平台的应用，该公司显著提升了安全事件的响应速度和准确性，减轻安全运营人员的工作量，最终实现安全事件响应流程的自动

216、化闭环。随着经验的积累，后期准备基于 SOAR 平台开发更复杂的自动化评估，例如与威胁情报集成形成自动化威胁狩猎剧本、与漏洞管理系统集成形成自动化漏洞处置剧本。某银行构建某银行构建 AIAI 分析平台案例分析平台案例案例概况案例概况某银行作为一家大型金融机构，随着数字化转型的加速，其业务系统和数据资产面临着日益复杂的网络安全威胁。传统的安全运营中心（SOC）在应对海量告警、人工分析压力以及新型威胁方面逐渐显得力不从心。为了提升威胁检测和响应的效率与智能化水平，该银行决定对其现有的安全运营中心进行升级，构建一个强大的 AI 分析平台，以更好地应对当前的安全挑战。AI 分析平台建设目标是实现智能化

217、的告警处理、威胁情报分析和安全事件响应，从而提升整体的安全运营效率和智能化水平。实施过程示意图86第六章 ISOC 的建设指南首先，针对银行当前安全运营面临海量告警、人工分析压力大、新型威胁不断涌现等挑战，确定了 AI平台的几个关键应用方向，包括智能化的告警分诊和研判，自动化的威胁情报分析和管理，以及辅助安全事件的智能调查和响应。在规划和设计时，银行考虑到数据安全和合规性要求，以及对性能的较高需求，选择了部署本地化的大模型，并关注到 AI 智能体结合大模型和各种安全工具，实现更智能化的自动化任务执行，因此计划构建一个混合的 AI 平台，包含通用的大语言模型，也包含针对安全领域垂直优化的子模型或

218、基础 AI 技术架构。功能包括利用知识图谱技术关联不同来源的安全数据，展示完整的攻击链路；通过自然语言交互实现智能化搜索、威胁推演，以及 AI 报告生成、安全策略建议等方面。银行 AI 安全分析平台架构由于该银行已构建的数据中台，因此该银行根据具体目标场景，着手进行数据平台的数据接入，并采集、存储和处理来自各种安全设备（防火墙、入侵检测系统、终端安全产品）和 IT 系统的日志、告警和流量数据，进行数据标准化和清洗，为 AI 模型提供高质量数据。然后，该银行与专业的安全厂商合作，将大模型和垂直领域基础 AI 技术对接安全厂商的安全知识库、威胁情报和恶意样本数据，优先在告警分诊、威胁情报分析和安全

219、报告生成等相对成熟的 AI 应用场景进行试点测试。计划收到效果后，再逐步开发异常行为分析、威胁狩猎、漏洞优先级排序和辅助事件调查等更复杂的 AI 应用。在 AI 应用开发过程中，该银行非常重视 AI 的可解释性和信任度问题。尝试探索利用更多数据进行训练、提供结果的同时提供思考过程等手段来提高 AI 决策过程的透明度，并进行充分的验证和测试，以确保 AI 分析结果的准确性。最后，该银行认为 AI 虽然能自动化处理大量重复性任务，但最终的决策和复杂事件的处理仍然应该由安全专家进行审核和决策。因此，在自动化处理流程环节增加专家审核和反馈的环节，以提升安全运营的准确性和提高学习能力。通过以上步骤，该银

220、行逐步构建起了一个为其智能化安全运营中心提供强大支持的 AI 平台，实现了更有效地应对日益复杂的网络安全威胁。87第六章 ISOC 的建设指南6.3.46.3.4 智能辅助级升级为自主级智能辅助级升级为自主级主要目标是主要目标是实现高度智能化、自动化和自适应的安全运营，AI 成为安全运营的核心引擎，安全系统具备自学习、自演进能力，能够自主预测、检测、响应和防御威胁，安全运营成为组织的核心竞争力。1 1）建设内容）建设内容AI 技术的全面深度应用：将 AI 技术深度融入安全运营的各个环节，实现全方位的智能化。广泛应用深度学习、可解释 AI（XAI）等更前沿的 AI 技术。构建更复杂、更精准的 A

221、I 模型，例如多模态融合分析模型、自适应安全策略模型等。AI Agent 的自主化应用：AI Agent 不仅提供建议，更能自主决策和行动。实现多 Agent 协同，Agent 负责不同任务，共同完成复杂的安全运营目标。AI Agent 具备强大的自主学习和进化能力，能够根据环境变化自动调整策略。安全运营平台的自适应能力建设：安全平台能够根据当前的威胁态势、风险评估结果、业务变化等因素，自动调整安全策略和检测规则。实现预测性安全，能够基于数据和知识预测未来的安全威胁，并提前采取预防措施。构建自愈合的安全系统，能够自动发现和修复安全漏洞或配置错误。安全数据湖的智能化应用：安全数据湖不仅用于存储数

222、据，更成为 AI 模型训练、知识图谱构建、威胁狩猎的智能分析平台。利用 AI 技术对数据湖中的数据进行深度挖掘，发现隐藏的模式和关联。人机协同模式的高度进化：AI 系统能够像专家一样思考和行动，承担绝大部分安全运营任务。安全分析师的角色转变为战略规划者、创新研究者、复杂决策者和 AI 监督者。人机交互更加自然流畅，例如通过自然语言进行深度对话和协作。安全知识体系的自主演进：构建动态的安全知识图谱和知识库，AI Agent 能够自动学习、更新和应用安全知识。2 2）考核指标）考核指标安全团队具备强大的 AI 研发和创新能力。AI Agent 高度自主化运行，能够有效提升安全运营的各个方面。安全运

223、营平台具备强大的自适应能力。安全运营的智能化水平达到业界领先。能够有效防御各种已知和未知的复杂攻击。安全运营成为企业的核心竞争力。88第六章 ISOC 的建设指南3 3）关注点）关注点随着人工智能技术在安全运营中心（ISOC）的深入应用，安全分析师的角色将逐步从传统的“规则工程师”“告警分析师”转变为“AI 训练师”“AI 监督员”和“安全策略架构师”。这不仅需要高效具备传统的安全技能，还需要掌握人工智能相关的知识和技能。企业需要加强对安全分析师的培训，帮助他们实现角色转型，才能充分运用人工智能技术，构建更智能的安全运营体系。“AIAI 训练师训练师”角色角色：负责 AI 模型的全生命周期训练

224、管理，包括数据准备、模型、模型调优、模型评估、模型部署和模型监控等，确保 AI 模型能够在实际安全运营环境中发挥最佳效果。数据分析能力：理解数据：能够理解安全数据的含义、来源、类型、格式等，并识别出数据的潜在价值。数据处理：掌握数据清洗、数据转换、提取等数据挖掘技术。数据标注：能够对安全数据进行高精度的标注，例如标注不良样本、识别错误和漏报等，为 AI模型提供数据。数据分析：能够利用数据分析工具，对安全数据进行探索性分析，发现数据中的模式和规律。AI 模型知识：模型原理：了解常见人工智能模型（例如机器学习、深度学习、NLP、知识图谱等）的基本原理、优缺点和适用场景。模型选择：能够根据具体的安全

225、运营场景和数据特点，选择合适的 AI 模型。模型调优：掌握 AI 模型的参数调优方法，例如网格搜索、随机搜索、贝叶斯优化等。模型评估：能够使用合适的指标（如准确率、识别率等）对 AI 模型的性能进行评估。模型部署：解 AI 模型的部署方式，例如将模型部署到 EDR、NDR、UEBA 等平台中。AI 平台使用：熟悉工具：熟练使用 AI 安全分析平台、机器学习平台、深度学习框架等工具。模型训练：能够利用这些平台和工具进行 AI 模型的训练、调优和部署。模型监控：持续监控 AI 模型的状态。模型更新：根据新的威胁数据和安全分析师的反馈，对 AI 模型进行更新和优化。“AIAI 监督员监督员”角色角色

226、：负责监控 AI 智能体和 AI 驱动的安全平台的运行状态，审核 AI 的分析结果和决策建议，并在必要时进行人工干预，确保 AI 技术在安全运营中的应用安全、可靠、有效。所需能力：AI 结果审核：审核和确认：对 AI 模型的分析结果进行审核和确认，判断结果的合理性和可信度。误报识别：能够识别 AI 模型的误报，并进行分析和处理。漏报识别：能够发现 AI 模型的漏报，并进行补充分析。AI 决策干预：安全决策：能够在紧急情况下快速判断 AI 智能体的决策是否合理，并在紧急情况下进行干预。风险评估：能够评估 AI 智能体决策的潜在风险，并采取相应的措施进行控制。人工接管：能够在 AI 智能体无法处理

227、的复杂情况下，接管安全事件的处理。89第六章 ISOC 的建设指南AI 安全与合规：安全意识：关注 AI 技术在安全运营中应用的安全问题，例如数据隐私保护、算法偏差等。合规意识：了解相关法律法规和行业标准，确保人工智能技术在安全运营中的应用符合合规性要求。安全审计：能够对 AI 的行为进行安全审计，发现潜在的安全风险。“安全策略架构师安全策略架构师”角色角色：负责将 AI 能力与企业整体安全战略相结合，设计和优化安全策略，并推动 AI赋能的安全运营体系的持续改进。具体能力：安全战略理解：深入理解企业的安全战略和业务目标。安全架构设计：将 AI 能力封装到安全架构设计中，例如设计 AI 驱动的安

228、全检测、AI 驱动的安全响应体系等。安全策略制定：根据 AI 的能力和特点，制定和优化安全策略。安全流程优化：将 AI 能力封装到安全运营流程中，并进行流程优化。沟通协调能力：与不同的团队（如 IT 运维团队、业务部门等）进行有效的沟通和协调，推动 AI安全项目的落地实施。6.46.4 中小型组织中小型组织 ISOCISOC 建设方案建设方案中小型组织由于预算、人才、技术等方面的限制，通常难以自建完整的 ISOC。建议考虑采用以下方案：SaaS 化 ISOC 平台：选择由安全厂商或云服务提供商提供的 SaaS 化 ISOC 平台，可以按需订阅安全服务，降低建设和运维成本。安全托管服务（MSSP

229、）：将安全运营的全部或部分职能外包给专业的 MSSP，由 MSSP 提供 7x24 小时的安全监控、威胁检测、事件响应等服务。建设基本能力：集中资源建设基本的安全能力，例如日志管理（SIEM）、终端安全（EDR）、网络安全（防火墙/IPS）等，并逐步引入自动化和智能化能力。充分利用云安全服务：如果业务部署在云上，可以充分利用云服务提供商提供的安全服务，例如云 WAF、云 DDoS 防护、云安全中心等。加强安全意识培训：由于技术防护能力相对较弱，更需要加强员工的安全意识培训，减少人为因素导致的安全风险。6.56.5 ISOCISOC 在各行业的解决方案在各行业的解决方案国内各行业对智能化安全运营

230、中心（ISOC）建设的重视程度普遍提高，但发展阶段和水平存在显著差异：金融、运营商、互联网等行业头部组织已率先构建较为成熟的 ISOC，并广泛应用 AI、大数据等技术实现高级威胁检测、自动化响应和智能决策；能源、政府等关键基础设施行业正加速推进 ISOC 建设，重点关注工控安全、威胁情报共享和应急响应能力；制造、医疗、教育等行业 ISOC 建设尚处于起步阶段，面临安全意识、预算和人才等多重挑战。6.4.16.4.1 金融行业解决方案金融行业解决方案90第六章 ISOC 的建设指南国内金融行业基本已经完成 SOC 的建设，金融行业普遍积极引入 AI 技术，如 UEBA、威胁情报分析、自动化响应等

231、，逐步向智能化 SOC 转型。而中小机构正在积极跟进。金融行业特点和挑战：金融行业特点和挑战：金融行业需要满足不断变化的严格的监管合规要求。金融行业拥有大量的客户数据、交易数据等敏感信息，确保数据不被非法访问或泄露是一个重要问题。IT 架构复杂，系统多，新技术应用快，业务高度依赖 IT 系统，业务连续性要求极高，金融交易中断可能导致巨大经济损失和社会影响，面临严峻的网络攻击和欺诈风险。安全人员少，金融行业面临专业安全人员缺乏的问题，难以满足日益增长的安全需求，并且海量的日志数据分析和处理能力不足。网络威胁的严峻性和复杂性不断增加，传统安全运营模式难以应对。智能化典型应用：智能化典型应用：统一的

232、智能化安全运营平台，针对安全分析能力受限、安全数据噪音过大、安全事件处置效率低、常态化运维响应慢等问题，横向贯穿孤立设备，打破数据孤岛，利用多种智能化技术，实现对网络安全威胁实时感知和精准研判，为各级安全运营人员快速发现、处置安全威胁提供有力支撑。基于 AI 的威胁情报平台：利用自然语言处理、知识图谱等技术进行情报分析和关联，利用 NLP、知识图谱等技术进行情报分析和关联，提供精准的威胁预警。基于 AI 的安全编排与自动化平台：利用 SOAR 技术，自动化安全事件响应流程，例如恶意软件隔离、漏洞91第六章 ISOC 的建设指南修复、账号取消等。基于 UEBA 的用户行为分析系统：监测用户行为异

233、常，识别内部威胁和账户盗用。基于 AI 的安全设备感知平台：整合内部外部安全数据，提供全方位、可视化的安全设备，辅助安全决策。基于 AI 的威胁狩猎平台：利用机器学习等技术，主动搜索网络中的潜在威胁。利用智能问答助手：快速提升初级安全人员运营能力。6.4.26.4.2 政府行业解决方案政府行业解决方案政府部门 SOC 建设水平较高，普遍建立安全监控和应急响应中心，并积极应用 AI 技术进行威胁情报分析、APT 攻击检测、网络安全装载等。并且各地政府正在积极推进政务云和智慧城市建设，ISOC 是其中的重要组成部分。行业特点：行业特点：政务系统通常比较复杂，涉及多个部门和层级，并且安全等级要求高。

234、掌握大量政务数据、公民个人信息等敏感数据。满足不断变化的严格的监管合规要求。服务范围广、影响大：一旦发生安全事件，可能影响政府形象和社会稳定多层安全域：政府网络通常划分为多个安全域，不同安全域之间需要进行隔离和访问控制，需要实现对各地市网络安全威胁的实时感知和精准研判。专业安全人员缺乏等多方面问题。APT 攻击威胁严重，攻击目标明确，攻击手段，潜伏期长。数据泄露事件频发，对国家安全和社会稳定造成严重影响。传统安全防御手段难以应对新型网络攻击92第六章 ISOC 的建设指南智能化典型应用：智能化典型应用：基于人工智能的网络空间资产测绘系统：自动发现和识别网络空间中的各类资产，评估资产的安全风险，

235、例如识别暴露的端口、脆弱的服务、未授权的设备等。基于知识图谱的网络安全资源平台：构建网络资产、漏洞、威胁等关系的知识图谱，提供全面的安全知识图谱，并利用 AI 技术进行威胁分析、风险评估和预测。跨部门安全信息共享平台：实现不同政府部门之间的信息共享和协同防御，例如威胁情报共享、漏洞信息共享和应急、响应协同等。基于人工智能的高级威胁检测系统：利用深度学习、知识图谱等技术，检测和阻止 APT 攻击，例如识别恶意代码、异常网络等。基于知识图谱的网络安全资源平台：构建网络资产、漏洞、威胁等关系的知识图谱，提供全面的安全知识图谱，并利用 AI 技术进行威胁分析、风险评估和预测。基于 AI 的安全编排、自

236、动化和响应（SOAR）平台：自动化安全事件响应流程，例如同样分诊、威胁确认、隔离、调查取证等。基于自然语言处理的舆情分析系统：网络舆情监测，及时发现和处置不良信息，如舆情信息、谣言等。6.4.36.4.3 能源行业解决方案能源行业解决方案头部能源组织正在积极推进 ISOC 建设，但整体水平仍有待提升，部分组织已建立安全监控中心，但智能化水平较低。AI 技术主要检测工业控制系统（ICS）异常检测、误检测等少数场景。能源组织更关注 IT/OT 融合安全，工控安全智能化，威胁情报驱动，应急响应能力提升。93第六章 ISOC 的建设指南安全运营面临的挑战：安全运营面临的挑战：安全事件频发，勒索软件攻击

237、、APT 攻击等对能源行业威胁严重。OT/IT 融合带来新的安全风险，需要统一的安全防护。传统安全技术难以有效保护 ICS 系统。安全专业人才缺乏，安全运营维护能力不足。安全意识薄弱，员工很容易成为社会工程学攻击的目标。智能化典型应用：智能化典型应用：基于 AI 的工业异常检测系统：利用深度学习等技术，学习 ICS 系统的正常行为模式，检测异常流量、异常操作、异常协议等。工业防火墙/隔离网闸：实现 OT 网络与 IT 网络的安全隔离，防止 IT 网络的威胁扩散到 OT 网络。工业安全威胁感知平台：整合 OT 和 IT 的安全数据（如设备状态、网络流量、安全日志、漏洞信息、威胁情报等），提供统一

238、的安全威胁视图，并利用 AI 技术进行威胁分析、评估和预测。基于数字孪生的工业安全仿真与演练平台：构建 ICS 系统的数字孪生系统，进行安全风险评估、攻防演练和策略验证。基于人工智能的工业安全风险评估系统：自动化评估工业控制系统的安全风险，并提供初步建议。6.66.6 常见实施问题和建议常见实施问题和建议传统安全运营（SOC）通常面临事件警报疲劳、应急响应缓慢、高级威胁检测能力不足等挑战，目前各组织正积极升级 SOC 到智能化安全运营（ISOC），但是在建设 ISOC 过程中常遇到各种挑战，针对这些挑战，安全牛 2025 年调研企业用户和厂商访谈近，汇总了以下常见问题和建议：1 1）企业现在是

239、否应该建设大而全的智能化安全运营平台）企业现在是否应该建设大而全的智能化安全运营平台在智能化安全运营（ISOC）建设过程中，我们经常会遇到一个误区，认为一定要建设一个庞大的、无所不能的 AI 平台，才能实现安全运营的自动化。然而，由于 AI 技术应用的不成熟，这种“大而全”的思路，往往会导致项目周期长、投入大、效果不明显，甚至可能项目失败。根据安全牛访谈，在实际项目中，更精细的场景下可以解决 AI 的误报等问题，快速体现 AI 的价值，建议 ISOC 建设不应追求“大而全”，应该“小步快跑”“精而准”的快速实现急需解决的特定精细场景。安全牛分析安全牛分析AI 在安全运营中的价值，智能化安全运营

240、（ISOC）建设应该“小步快跑”，不应追求“大而全”，而是应体现“精而准”。简单来说，就是从最容易上手、能够快速产生价值的场景入手，逐步推进 ISOC 建设。这种方法的核心思想是：选择那些能够快速解决实际问题、提升安全运营效率的场景，各地着手，逐步扩大应用范围，避免“一口吃个胖子”再通过不断的反馈和优化，不断提升 AI 在安全运营中的应用效果。比如知识问答、某类安全事件的溯源和自动化响应。94第六章 ISOC 的建设指南2 2）在）在 ISOCISOC 建设过程中会面临哪些数据治理的挑战建设过程中会面临哪些数据治理的挑战在 ISOC 建设的道路上，首先会遇到一个巨大的挑战数据治理。数据是 IS

241、OC 的基础，没有高质量的数据，自动化、智能化的安全运营就类似于空中楼阁。并且数据治理问题在现实中，往往比我们想象的要复杂。我们经常会遇到以下数据挑战：数据孤岛问题：组织内部通常配置来自不同厂商、不同型号的安全设备，这些设备产生的数据格式各不相同，彼此之间缺乏互通性，形成一个“数据孤岛”。数据质量问题：安全设备产生的数据可能存在错误、缺失、重复等问题，这些质量低的数据会严重影响人工智能的分析和判断，导致误报、漏报等情况。数据量爆炸问题：随着安全设备的普及和网络流量的增长，安全数据量呈爆炸式增长。如何高效存储、处理和分析海量数据，成为亟待解决的问题。数据合规性问题：数据通常包含敏感信息，如用户信

242、息、业务数据等。在数据采集、存储、处理和分析过程中，应注意利用匿名、混淆等技术进行处理。好处是好处是快速见效：小场景落地快，能够快速展现 ISOC 的价值，增强团队信心。通过实际的应用案例，让领导和同事看到 AI 在安全运营中的潜力。降低风险：小步快跑，降低项目风险，避免“大而全”带来的不确定性。可以在小范围内进行测试和验证，及时发现和解决问题。持续优化：通过不断地迭代和优化小场景，我们可以逐步积累经验，为后续的 ISOC 建设打下坚实的基础。可以将成功的经验复制到其他场景，逐步扩大 AI 的应用范围。更精准的回报投资：可以在小场景中更轻松地确定投资率，可以更有效地申请到更多的预算。安全牛分析

243、安全牛分析因为组织往往忽视在规划阶段对明确数据需求的重要性。没有明确的目标，无法预知为什么需要哪些数据，也无法选择合适的设备，到建设后期才发现数据中断，往往为时已晚，成本高昂。数据是 ISOC 的基石。只有打好数据基础，我们才能充分发挥 AI 的潜力，让安全运营真正智能起来。建议：建议：规划先行，目标明确：在 ISOC 建设之初，需充分了解自身的风险状况和业务需求，明确需要哪些数据来支撑安全运营。例如：若需进行用户行为分析，则需要设备能够提供详细的用户日志，若需进行流量分析，则需要设备能够提供全面的网络流量数据。设备选型、数据匹配：在选择安全设备时，不仅要关注其功能，更要关注其数据输出能力，确

244、保能够提供所需的数据。可以要求设备厂商提供详细的数据字典，了解其数据格式和内容。95第六章 ISOC 的建设指南3 3）企业应选择本地还是云端的部署模式？）企业应选择本地还是云端的部署模式？企业在建设智能化安全运营中心（ISOC）时，面临的一个关键决策是选择哪种部署模式：本地部署、云端或混合模式。不同的部署模式各有优劣。主要模式包括：主要模式包括：本地部署模式：本地部署可以更好地满足其对数据安全、隐私保护和自主可控的要求，并能够更灵活地进行定制化开发和集成。大型组织通常拥有庞大而复杂的自主 IT 基础设施、完善的安全运营体系和专业的安全团队，面临复杂的安全威胁和严格的合规要求，安全预算相对充裕

245、，对数据安全和可控性有更高的要求。建议对于具备以上特点的大型组织，本地部署可以更好地满足其对数据安全、隐私保护和自主可控的要求，并能够更灵活地进行定制化开发和集成。但是注意，本地部署 ISOC 的前期投入，需要专业的团队进行建设和运维。云端模式：云端模式可以降低 ISOC 的建设和运维成本，并提供专业级的安全运营服务，中小型组织的特点是 IT 基础设施相对简单，安全团队规模有限或缺乏，安全预算有限，对安全运营的专业性要求较高，但自身难以满足。建议中小型组织选择云端的 ISOC 通常是更经济、更高效的选择，可以使中小型组织也能够享受到先进的安全防护能力。混合模式（本地+云）：混合模式结合本地部署

246、和 SaaS 模式的优点，可以根据不同的业务需求和安全需求，将不同的安全功能部署在本地或云端。建议对于一些大型组织，可以考虑采用混合模式。可以将核心的安全数据和安全功能部署在本地，将一些非核心的安全功能部署在云端，或者将云端作为本地 ISOC 的补充和扩展。以下是需要考虑的其他因素：以下是需要考虑的其他因素：专业的安全运营团队。自建 ISOC 需要专业的安全团队进行建设、运维和管理。如果企业缺乏专业的安全团队，云端的 ISOC 或托管安全服务（MSSP）可能是更合适的选择。IT 基础设施和安全体系。企业要考虑 IT 基础设施的规模和复杂程度，ISOC 需要与现有的 IT 基础设施进行集成。如果

247、 IT 基础设施庞大而复杂，本地自建 ISOC 的负载和成本会更高。并且 ISOC需要与现有的安全设备和系统进行联动。如果企业缺乏基本的安全设备和能力，ISOC 可能无法有效地工作。数据安全性和合规性。对于数据安全和隐私保护有要求的企业（例如金融、医疗等行业），可能数据治理，贯穿始终：数据治理不是一蹴而就的，而是一个持续的过程。要建立完善的数据治理体系，包括数据采集、存储、清理、转换、分析等阶段。采用数据湖、数据仓库等技术，实现数据的集中存储和管理。数据智能化：制定并采用通用的数据标准，实现不同设备和系统之间的数据交换和共享。数据安全合规：建立完善的数据安全管理制度，确保数据在整个生命周期内的

248、安全性。96第六章 ISOC 的建设指南更倾向于本地自建 ISOC，以保证数据的安全和可控。预算和成本。本地自建 ISOC 的前期投入较多，包括硬件、软件、人力等方面的投入。SaaS 化的ISOC 通常采用订阅模式，前期投入较低，但长期成本需要综合考虑。定制化和灵活需求。不同的企业面临不同的安全需求和合规需求，本地自建 ISOC 可以提供更高的定制化和灵活性，但需要更强的技术实力。云端的 ISOC 提供的功能通常是标准化的，定制化能力有限。并且本地自建通常更容易实现与其他内部系统进行深度集成。企业在选择 ISOC 部署模式时，需要综合考虑并根据自身的实际情况做出最佳选择。4 4）如何转变思路，

249、从而获得高层领导的支持？）如何转变思路，从而获得高层领导的支持？在 ISOC 建设过程中，我们经常会遇到这样的挑战：如何让领导充分了解 ISOC 的价值，并持续投入经费？毕竟建设需要资金的支持。如果无法证明 ISOC 的价值，就很难获得领导的支持。要解决这个问题，我们需要转变思路，从“技术驱动”转变为“价值驱动”，用数据说话，用事实证明 ISOC 能够为组织带来真正的价值。安全牛分析安全牛分析领导关注的不是技术本身，而是技术能够带来的价值。让我们用数据和事实，赢得领导的信任和支持，建议：明确指标量化：在 ISOC 建设之初，需要设定明确的量化指标，如事件响应时间、威胁监测率、运营成本降低等。这

250、些指标应该与组织的业务目标相关联，能够清晰地反映 ISOC的价值。持续测量效果：通过持续测量和分析，我们可以了解 ISOC 的实际效果，并及时调整优化。可以定期发布 ISOC 的运营报告，向领导展示其成果和价值。可视化展示：将量化指标和分析结果以可视化的方式呈现，一目了然地了解 ISOC 的价值。可以采用图表、仪表盘等方式，直观地展示 ISOC 的运营情况。从点着手，逐步扩大：通过一个小而成功的案例，展示 ISOC 的潜力，并以此为基础，逐步扩大应用范围，争取更多预算。可以选择一些容易量化和展示的场景，如知识问答、事件溯源等。强调商业价值：不仅要强调 ISOC 的技术优势，更要强调其商业价值。

251、例如：ISOC 可以提高安全运营效率，降低运营成本；可以提升威胁检测能力，降低安全风险；可以增强客户信任，提升品牌形象。构建安全运营成熟度模型：使用该模型来简化组织在流程、技术和人员方面的成熟度。通过评估模型显示持续性的改进，这对于获得更多的预算和保持持续性改进至关重要。97第七章 ISOC 优秀案例研究第第七七章章 ISOCISOC 优秀案例优秀案例研究研究（按厂商首字母排序）（按厂商首字母排序）通过对国内智能化安全运营中心（ISOC）应用的典型案例进行深入细致地剖析，为企业提供可汲取的实践经验，并提炼 ISOC 建设的成功要素和最佳实践。从这些案例中，我们可以清晰地看到 ISOC 在提升安

252、全运营效率、效果和体系化水平方面的巨大潜力。随着人工智能（AI）技术的不断发展和应用场景的不断拓展，ISOC 必将在企业安全防御体系中发挥越来越重要的作用。7.17.1 典型案例一典型案例一某金融机构安全运营平台升级案例（绿盟科技提供）某金融机构安全运营平台升级案例（绿盟科技提供）（1 1）案例背景）案例背景近年来，随着金融科技的快速发展和数字化转型的深入推进，某省级农信机构的业务越来越依赖于信息系统和网络。移动支付、在线购物、云服务等数字化产品和服务的普及，在推动数字经济快速增长的同时，也使得该农信面临着严峻的网络安全挑战。作为金融行业的重要组成部分，该农信机构不仅需要遵守国家网络安全法律

253、法规和金融行业监管要求，还需要应对各种复杂的网络攻击和数据安全威胁。为了业务保障的连续性、数据的安全性和客户的隐私，该农信机构持续加强网络安全建设，构建了完善的安全防御体系。（2 2）用户挑战）用户挑战近两年，某省级农信机构正大力推进网络安全能力建设，内部构建了不同厂商的安全设备，如各类检测设备、态势感知、防护设备等，实际现状依然仍然是海量告警，投入的人员数量多，但是效率低。并且随着攻击手段的不断升级和攻击频率的不断提高，该农信机构现有的安全运营中心（SOC）在应对海量、高级威胁、内部威胁等方面逐渐力不从心。为了进一步提升安全运营的效率和效果，该农信机构决定与绿盟科技合作，在提供一体化 AI

254、安全运营平台的同时，引入 AI 大模型能力，以解决上述问题。（3 3）案例实施）案例实施该农信机构在安全运营平台的基础上，通过部署绿盟风云卫安全大模型底座及 AI 能力（如智能分类、提示词控制、安全专家、运营反馈以及语音服务和降噪分诊等），实现自动化安全运营、辅助运营和知识问答，该农信机构可以基于已训练好的安全模型底座不断调优，实现其安全运营能力的提升以及基于数据的有效分析和降噪。98第七章 ISOC 优秀案例研究具体来说，在大模型底座方面，该农信机构凭借绿盟科技自研的风云卫大模型底座，在数据训练中投入通用训练语料和安全训练语料，同时通过为大模型训练和推理提供了必要的基础设施和高效的管理，涵盖

255、分布式算力池、网络安全行业大模型（SecLLM）和向量知识库，并通过整合广泛的安全数据集，这些数据集覆盖了已知的攻击模式、漏洞类型、安全策略以及合规要求等多个维度，以确保模型训练的全面性和深度。同时，风云卫大模型底座也包含向量知识库，支持用户将本地的 word、pdf、txt 等数据导入系统，系统根据一定的策略对相关数据进行预处理，包含分段处理、去重等，并使用一个词嵌入模型（Embeddings）将农信机构的自有知识转换为稠密知识向量数据导入本地向量知识库。此外，该农信机构也尤为重视数据安全及模型安全，为了提升数据和模型的安全性，一方面，在数据采集阶段采用数据脱敏和去标识化等方法，对个人身份和

256、敏感信息进行保护。在数据存储和传输过程中，使用加密技术来确保数据的机密性，以防止未经授权的访问。另一方面，在模型安全方面，通过对模型安全性进行评估，识别模型存在的潜在漏洞和安全风险，并采取防御性训练及鲁棒性增强的方法，例如对模型进行对抗攻击测试、漏洞挖掘和鲁棒性分析等，同时通过注入噪声和故意扰动训练数据，从而减少模型被恶意攻击的风险，增强模型对抗攻击的能力。（4 4）关键成功因素）关键成功因素平台应用价值核心集中在安全运营、安全对抗、安全能力提升以及 AI 自身安全评估等多个应用场景的探索实践。智能运营智能运营 CopilotCopilot：通过人机协同，如智能降噪、威胁事件深入快速分析研判、

257、威胁检测、闭环处置等能力进一步增强安全防御的智能化和及时性。这些功能共同构建起智能安全运营的基础，提升了威胁检测、响应和决策的能力，助力安全团队更有效地维护网络安全。安全对抗安全对抗：基于大模型的智能体通过自动对抗，形成长期自主进化的攻防对抗能力。同时，该平台还支持输入攻防演练需求，通过模拟各类攻击和防御情景，基于 SecLLM 的智能体不仅学习攻击方法，还能掌握99第七章 ISOC 优秀案例研究多种防御策略，从而逐步形成多样化的应对能力。SecLLM 智能体可以快速感知威胁，做出智能决策，并将决策转化为实际行动，从而提高安全防御和响应的效率和准确性，最后输出演练报告进行总结和复盘。安全能力提

258、升安全能力提升：基于 SecLLM 开展代码漏洞挖掘，通过学习大量代码和漏洞案例，积累丰富的漏洞代码分析经验和专业知识；同时基于 SecLLM 提供智能问答服务，无论是有关网络攻击的常见手段，还是关于数据隐私保护的最佳实践，SecLLM 都能够提供详细的安全专业解答和建议。AIAI 自身安全评估自身安全评估：针对 AI 大模型在内容安全及对抗安全两大方面的风险评估工具，目前已支持评估Chatglm2、Qwen、Baichuan2、百度文心、阿里通义、讯飞星火等商用大模型及开源大模型评估，其中合规内容安全评估涵盖虚假信息、敏感数据泄露、歧视性言论、知识产权及版本等内容；对抗安全风险评估包括元 P

259、rompt 泄露、角色逃逸、模型越狱、模型功能滥用等对抗攻击；内置 26 类测试用例，助力企业在 AI 大模型在应用之前及时发现其存在的安全风险。从大模型开发生命周期的各个维度进行 AI 安全的评估和验证，如针对基座安全、数据安全、模型安全、应用安全、身份安全，结合大模型在各个阶段（训练阶段、部署阶段、应用阶段）发现 AI 自身的安全隐患和风险。（5 5）实施收益）实施收益综合来看，该省级农信机构在其安全运营平台嵌入生成式 AI 能力后，极大地提升了网络安全运营管理工作的效率，其作为辅助专家的定位或者角色，不仅能提升企业侧安全人员在安全运营管理、安全对抗和安全研究上的能力，而且也有效提升了该省

260、级农信机构的智能化安全运营工作效率，而且通过借助于 AI 自动基线过滤（多个 AISecOps 降噪模型）把运营需要关注的事件按不同级别/分类找出来，给予不同的处置处理，使得平均降噪率 97%，响应时间降低到 30 分钟内，效率提升 70%+。未来，该省级农信机构在 AI 赋能安全运营管理和 AI 自身安全两个大的领域深度进行建设的基础上，探索更多领域的安全场景和服务应用，例如威胁情报增强、攻防能效的提升、全新交互范式的建设以及运营报告的自动化生成等。安全牛评价安全牛评价金融行业普遍面临着极为严峻的网络安全挑战和严格的监管合规双重压力。业务的快速创新和数字化转型带来了 IT 环境的高度复杂性和

261、海量安全数据，传统安全运营模式在效率、响应速度、高级威胁（如网络欺诈、APT 攻击、数据泄露）检测和内部威胁防范方面捉襟见肘，同时专业安全人才的匮乏加剧了运营困境。因此，构建具备自动化、智能化、主动防御能力并满足严格合规性要求的安全运营体系，已成为金融机构的迫切需求。绿盟科技为该省级农信机构提供的解决方案，其核心优势在于深度融合了安全垂直领域的大语言模型（风云卫 SecLLM）与安全运营实践。该方案的创新性体现在：一是通过“智能运营Copilot”实现了人机协同下的智能降噪、深度分析研判和闭环处置；二是利用基于大模型的智能体进行自动化攻防对抗演练，显著提升了主动防御和实战能力；三是利用 Sec

262、LLM 赋能安全能力提升，如代码漏洞挖掘和智能问答；四是其对 AI 自身安全评估的重视，提供了针对性的评估工具，解决了引入 AI 技术带来的新风险。该方案将 AI 深度融入安全运营的各个环节，代表了安全运营模式的先进性和变革方向。100第七章 ISOC 优秀案例研究7.27.2 典型案例二典型案例二某省级应急管理厅安全运营平台建设案例（奇安信提供）某省级应急管理厅安全运营平台建设案例（奇安信提供）（1 1）案例背景）案例背景某省应急管理厅作为省应急行业直管单位，直接管理全省的应急行业工作，项目要求根据地方应急管理信息化 2024 年任务书应急管理部关于印发自然灾害应急能力提升工程基层防灾、预

263、警指挥、航空应急等 3个项目实施方案的通知（应急函2023140 号）工作要求，应急管理厅针对指挥信息网、电子政务外网等，建设一套完整的“事前有防范、事中有应对、事后有追溯”的安全防御体系，支撑应急网络安全建设人才培养和覆盖区、市、县的安全运营能力建设，实现安全管理能力明显提升、安全技术与实际应用相结合，形成具有主动防御和协同运营能力的新一代网络安全保障体系，保障应急网络信息系统安全稳定运行。（2 2）用户挑战）用户挑战缺乏一套针对省厅电子政务网、指挥信息网的整体安全运营体系，无法感知全网安全监测预警、安全设备监控、安全事件溯源等问题；满足应急管理部一级运营平台进行数据上报需求，响应中央网信办

264、联合多部委发布的生成式人工智能服务管理暂行办法鼓励生成式人工智能技术在各行业、各领域的创新应用的号召；期望通过安全大模型能力，解决安全运营面临告警繁多，专家人员稀缺等痛点；（3 3）案例实施）案例实施省应急管理厅采用奇安信 AISOC 作为核心运营平台，进行安全运营中心建设。通过工具、人员、流程的多维建设，构筑多中心统一运营的安全运营模式。基于主动探测、流量分析、安全设备接入等多种方式，加强对信息系统资产使用状况、漏洞及配置违规情况的监测，实现资产和脆弱性管理结合。该案例对于同样面临高安全要求、强监管压力、数据敏感性高、技术快速迭代等特点的金融机构具有极高的借鉴价值。同时，对于其他关键基础设施

265、行业（如能源、电信、政府等）以及希望利用 AI 提升安全运营智能化水平的大型企业也具有重要的参考意义。该案例的关键启示在于：安全垂直领域大模型的应用是提升 ISOC 智能化的关键；构建智能化安全运营体系需同步考虑 AI自身的安全风险；将 AI 用于安全对抗和能力提升是重要的应用方向；人机协同仍然是当前阶段实现 AI 价值最大化的有效途径。101第七章 ISOC 优秀案例研究AISOC 集群部署示意图通过 AISOC 设计架构，实现对应急管理厅指挥信息网、电子政务外网安全状态的监测以及分析研判和处置，同时利用大模型的整合和计算能力实现智能化、自动化，极大提升了网络安全运营的效率，实现安全运营团队

266、日常工作的重塑，让安全运营人员可以聚焦威胁狩猎等高价值安全任务，提高单位时间能够处理的潜在高级威胁的数量提高，提升新质安全生产力。AISOC 智能运营态势大屏（示意图）（4 4）实施收益）实施收益基于资产风险的量化运营指标设计基于资产风险的量化运营指标设计102第七章 ISOC 优秀案例研究为提升应急管理厅的网络安全量化运营效果评价能力，本次项目交付的态势感知平台在满足应急管理部的功能要求前提下，奇安信基于国际行业通用标准及国内政企部门实际运用经验，总结出一套体系化的安全运营工作量化指标，并通过免费定制开发的方式应用到了态势感知平台上。同时，结合量化运营相关指标定制了态势大屏，聚焦解决应急管理

267、厅安全建设成果和运营成效无法有效体现，安全管理者难以有效决策的难题。量化运营指标通过指标可选、周期可配的灵活方式，辅助运营团队构建适合应急管理厅的运营指标。同时，量化运营态势通过可拖拽、可自定义的方式，满足应急管理厅的个性化监控与汇报要求。平台定制指标数量为 24 个，包含效率提升类指标 3 个，团队投入类指标 2 个，成果类指标 19 个，覆盖资产风险、威胁告警、安全事件、人员配置、工作产出等大部分日常安全运营工作，保证运营团队全方面体现工作成果，让应急管理厅网络安全管理者了解到安全运营部门的工作成果和业绩，辅助管理者做出安全决策和下一步的投资建议。基于生成式人工智能的安全运营设计基于生成式

268、人工智能的安全运营设计奇安信 AISOC 完成安全大模型与态势感知平台的接口对接，将大模型的智能研判、智能问答、智能运营等能力与态势感知平台进行深度融合，并实现联动，让安全运营降本增效。AISOC 通过与安全大模型对接，集成思维链、上下文学习及逻辑推理能力，可以和高级网络安全专家一样对告警进行分析、研判。通过对话问答的方式将内置的网络安全专业知识转化为具体业务场景的分析，继而协助安全运营人员的疑难解答和辅助分析，提升网络安全运营效率和质量。通过 7*24 小时不间断地告警自动研判，实现对厅本级 80%的常见告警自动进行研判，给出研判结论并输出研判报告；其次使用更加智能的安全通用知识问答，通过简

269、单的对话，获得攻击特征、攻击原理、危害和专业建议；最后运用数据查询、任务下发等 30+智能运营场景，下达安全运营中常见的工作任务，实现安全运营闭环。旨在解决应急管理厅安全运营工作难度大、重复性高、人力不足、专业人才匮乏、专业知识要求高等业界难题，为应急管理厅安全运营中心降本增效。基于大模型技术的安全事件研判能力设计基于大模型技术的安全事件研判能力设计奇安信 AISOC 智能研判功能，可以直接对接入的告警进行 7*24 小时全天候自动化研判，大模型及智能代理会根据学习到的研判知识针对不同的告警信息调用合适的工具如关联其他告警日志等进行分析研判，自动输出研判结论和处置建议，并且可以输出查看告警的详

270、细智能研判信息，包括攻击的原理分析、过程分析、结果分析、处置建议等。如对攻击过程存疑，针对威胁可进一步对机器人提问，探索与该威胁相关的详细信息，让安全运营人员只需审核大模型/机器人研判结果即可完成工作。让原本占用安全运营人员大部分时间的告警筛选和研判工作转变成打开自动研判结果，快速审核即可完成告警研判工作。节省的时间能够专注在业务环境复杂事件的跟踪分析或进行威胁狩猎，提升网络安全运营新质生产力。103第七章 ISOC 优秀案例研究7.37.3 典型案例三典型案例三某省电力公司安全运营建设案例（亚信安全提供）某省电力公司安全运营建设案例（亚信安全提供）（1 1）案例背景）案例背景某省电力公司是

271、负责投资、建设和运营管理本省多个地级市电网的大型企业。企业供电服务人口超千万。在实施国家电网公司“一特四大”战略中具有重要地位，该电力公司在“十二五”期间承担了特高压交、直流电网和 500 千伏电网覆盖本省各地区的重任。对区域电力供应、促进经济社会发展发挥着举足轻重的作用。近年来，随着电力系统的数字化转型加速，网络攻击手段变得愈加复杂多变，传统的安全防护体系已难以满足现代电网的安全需求。为了应对日益复杂和严峻的网络安全挑战，该电力公司决定构建基于最新 AI 技术的XDR（扩展威胁检测与响应）平台，旨在通过智能化和集中运营管理提升整体网络安全水平，实现对全网设备的统一管理和实时监控，保障电力系统

272、的稳定运行。安全牛评价安全牛评价应急管理部门作为关键信息基础设施的重要组成部分，其网络安全直接关系到社会稳定和公共安全。该案例精准地抓住了当前应急管理部门在网络安全运营方面普遍存在的痛点：网络环境复杂（涉及指挥信息网、电子政务外网等）、资产多元化且分布广泛（覆盖省、市、县）、安全设备异构导致数据孤岛严重、缺乏统一运营体系导致态势感知和事件溯源困难。同时，海量告警带来的“告警疲劳”和专业安全人才的稀缺，进一步放大了安全运营的挑战，亟需构建统一、智能、高效的安全运营体系。奇安信的 AISOC 解决方案，核心在于深度融合了奇安信自研的安全垂直领域大模型（QAX-GPT）和成熟的安全运营平台（NGSO

273、C），实现了安全运营的智能化升级。其优势与创新性体现在：一是 AI 驱动的全流程赋能，将 AI 能力贯穿于告警研判（目标自动化率 80%）、事件调查、响应处置、智能问答等安全运营各个环节，显著提升效率和准确性；二是面向管理决策的量化运营体系，通过定制化的 24 个量化指标和可视化大屏，将安全建设成果和运营成效具象化，为安全决策和投资规划提供了科学依据，有效解决了“安全价值难衡量”的管理难题；三是响应国家战略，积极探索生成式 AI 在关键行业的创新应用，提升“新质安全生产力”。该案例对面临 IT 环境复杂、安全数据海量、安全要求高、合规压力大、专业人才紧缺等类似挑战的企业和组织具有重要的借鉴意义

274、，尤其适用于其他政府机构、关键信息基础设施运营单位（如金融、能源、交通、运营商等）以及大型企业集团。其关键启示在于：构建统一的、集成的安全运营平台是应对复杂环境的基础；引入安全垂直领域的大模型能够显著提升安全运营的效率和智能化水平，有效缓解告警疲劳和人才短缺问题；建立量化的安全运营指标体系对于衡量安全价值、支撑管理决策至关重要；选择能够提供深度融合 AI 能力和定制化解决方案的厂商进行合作是项目成功的重要因素。104第七章 ISOC 优秀案例研究（2 2）用户挑战）用户挑战该电力企业在网络安全方面面临的挑战主要包括：设备多样化与统一管理难题。系统中包含多种类型的电力设备，从传统的 PC 到工业

275、控制系统，再到云计算资源，种类多样，分布在不同的断层上等。这些设备可能运行在不同的操作系统和硬件架构上，包括但不限于个人电脑（Windows、macOS、Linux）、服务器（物理服务器和虚拟机）、移动设备（iOS 和Android 智能手机和平板）、物联网设备（如智能电表、传感器、网络头）、工业控制系统（如 PLC、SCADA系统）、网络设备（路由器、交换机、防火墙）以及云服务和边缘计算节点。设备的多样性给安全地接入企业网络和有效地监控、管理和防护带来一定的挑战。安全事件快速响应需求。需要高效识别、分析并迅速应对各类复杂的网络安全威胁，包括但不限于高级持续性威胁（APT）、零日漏洞攻击（0d

276、ay）、无文件攻击、勒索软件、分布式拒绝服务攻击（DDoS）、内部人员恶意行为以及供应链攻击等。面对这些多变且隐蔽的安全威胁，传统安全措施往往显得力不从心，因为它们缺乏对新型威胁的及时发现能力和有效的自动化响应机制。如果电力调度系统遭到攻击或智能电表被入侵，可能导致大停电，或导致用户数据泄露或电费被篡改，从而导致业务中断。电力网络的复杂性和完整性，使安全事件的有效检测和快速响应变得更加困难。提升运维效率。日常在处理复杂多变的网络环境下的各种运维任务存在巨大挑战，传统方法往往依赖于人工审查日志文件、手动配置规则和逐个验证警报的真实性，尤其是在安全事件检测、分析与响应过程中不仅需要耗费大量的人力和

277、时间，还容易出现人为错误。4.合规性要求。该电力公司需要满足国家和行业对于网络安全的各项法规、标准和监管要求，确保系统的合规运行，如中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法网络数据安全管理条例重要基础设施保护条例、DL/T26142023电力行业网络安全等级保护基本要求信息安全技术网络安全等级保护基本要求27 号令等。（3 3）案例实施）案例实施项目目标和需求：项目目标和需求：1.全面兼容设备接入与统一管理：我们的目标是确保 XDR 平台能够无缝支持并集成来自不同厂商、不同类型的各种终端（如 PC、移动设备）、网络设备（路由器、交换机、防火墙）、云端应用以及

278、边缘计算节点的接入。通过提供一个集中化的管理控制台，实现对所有连接设备的可视化监控与管理，简化复杂的 IT 环境，提高运维效率，同时保证系统的高可用性和安全性。2.安全事件精准发现与响应：为了有效应对日益复杂的安全威胁，通过部署先进的 AI 技术来实时监测、分析网络中的异常行为和潜在攻击。该系统不仅能快速准确地识别出已知威胁，还能通过机器学习算法预测未知威胁的发生，并自动生成针对性地响应策略。此外，自动化响应机制可以在检测到威胁时立即采取行动，比如隔离受影响的主机或自动更新防护规则，从而大幅缩短从发现到处置的时间周期，降低风险暴露窗口。105第七章 ISOC 优秀案例研究3.动态调整策略：考虑

279、到安全威胁的不断演变，我们计划利用深度学习算法持续优化防御策略。这意味着 XDR 平台将能够根据最新的威胁情报和历史数据，自动调整其安全措施以适应变化莫测的安全态势。通过这种方式，不仅可以增强系统的自我保护能力，还可以减少人工干预的需求，使得整个防护体系更加灵活高效，始终处于最佳状态，为用户提供持久且可靠的安全保障。实施思路和方法：实施思路和方法：采用 AI 驱动的精准运营模式，结合大模型、图神经网络（GNN）等先进技术，打造集成威胁情报库、ATT&CK模型等功能的智能事件聚合引擎。项目实施内容：项目实施内容：部署新一代 XDR 统一管理智能安全运营平台，实现了对各类设备的无缝接入和统一管理。

280、该平台支持多种终端（如 PC、移动设备）、网络设备（路由器、交换机、防火墙）、云端应用以及边缘计算节点的集成，通过单一界面提供全面的可视化监控与集中化管理，简化了复杂的 IT 环境管理流程，提高了运维效率。实施 AI 驱动的安全事件分析，提高了威胁检测精度和响应速度。利用先进的机器学习算法，系统能够自动识别异常行为模式，并通过持续学习来优化模型，增强对未知威胁的预测能力。此外，AI 技术还支持自动化的事件分类与优先级排序，使得安全团队可以专注于处理最关键的安全事件，极大地缩短了从发现到处置的时间周期。引入动态策略调整机制，根据实时流量分析结果自动调整防御策略。此机制采用深度学习算法，能够实时评

281、估网络安全态势，并据此动态更新防护规则。这不仅增强系统的自我保护能力，也减少人工干预的需求，确保企业始终处于最佳的安全状态。106第七章 ISOC 优秀案例研究基于 AI 能力的自动化运营，实现了全天候的安全监测与响应。借助 AI 助手，系统可以自动执行日常的安全操作，例如定期扫描潜在威胁、自动隔离受感染的主机、实时更新威胁情报库等。同时，AI 还能生成详细的报告，供安全团队审查和进一步行动。这种自动化运营方式显著提升了工作效率，减少了人为错误的可能性。开发智能响应剧本库，用于指导自动化响应措施。这些剧本基于 AI 分析的结果，定义了针对不同类型的威胁应采取的具体步骤。一旦检测到特定威胁，系统

282、将自动触发相应的剧本，执行预设的操作流程，如封锁恶意 IP 地址、重置受损账户密码或恢复被篡改的数据文件。建立持续学习与改进循环，确保 XDR 平台能够适应不断变化的安全威胁。通过收集实际运行中的反馈数据，AI 引擎能够不断地学习和进化，优化其算法以更好地应对新型攻击手法。这一过程还包括定期的安全演练，验证新功能的有效性，并及时调整策略以保持领先于潜在威胁。（4 4）关键成功因素）关键成功因素灵活扩展：设计方案支持模块化扩展，可根据实际需求灵活配置。技术创新：应用了先进的 AI 技术和机器学习算法，如 GNN 和深度异常检测模型，提升了威胁检测能力。不仅提升了平台的智能化程度，还极大地增强了对

283、未知威胁的识别能力和应急响应速度。利用先进的机器学习算法和深度神经网络，AI 大模型能够对来自不同来源的数据进行综合分析，自动识别潜在的安全威胁，并提供精准的操作建议；高效集成：将多种安全功能集成于单一平台，简化了管理和操作流程。采用了动态策略调整机制，根据实时流量分析结果自动优化防御策略，适应不断变化的安全环境。结合强化学习等前沿技术；灵活扩展：设计方案支持模块化扩展，可根据实际需求灵活配置。（5 5）实施收益）实施收益提高了安全事件响应速度：通过 AI 研判与一键终止功能，跨设备攻击链路溯源效率提高了 80%，平均响应时间缩短至分钟级，大大提高了安全事件处理的速度和准确性。增强了防御能力：

284、实现了对 0day 攻击等高级威胁的有效检测，70%的攻击可以自动拦截。降低了运营成本：通过自动化流程减少了 93%的人工调查时间，实现了从威胁发现到处置的高效闭环管理。107第七章 ISOC 优秀案例研究7.47.4 典型案例四典型案例四某能源头部企业一体化网络安全监管平台（神州泰岳提供）某能源头部企业一体化网络安全监管平台（神州泰岳提供）（1 1）案例背景）案例背景在“十四五”期间，某能源集团积极投身数字化转型，深度融合云计算、大数据、物联网、人工智能、5G通信、区块链等新一代信息技术，推动公司战略实施。通过提升数据质量、挖掘数据潜力，结合人工智能与大数据技术，构建高效安全的运营大模型，

285、完善信息科技安全运营机制，提升科技创新能力，为高质量发展注入动力。随着云计算、大数据、移动办公等新技术和新应用的大规模部署，在推动集团数字化进程加速的同时，也给现有的网络安全带来了新的挑战，现有安全防护体系的适应性和防护能力已无法应对新的风险。鉴于国家中华人民共和国网络安全法的实施和能源企业经营管理的内在需求，建设集中化、统一化、功能安全牛评价安全牛评价电力行业作为国家关键基础设施，其网络安全面临着独特的挑战。电力系统 IT 环境高度复杂，融合了传统的办公 IT 网络、大量的工业控制系统（ICS）和物联网设备（如智能电表、传感器），设备种类繁多、协议各异、安全防护水平参差不齐，给统一安全管理带

286、来了极大的困难。同时，电力行业是高级持续性威胁（APT）攻击的重点目标，且对业务连续性和数据安全性的要求极高，加之严格的网络安全法规遵从压力，使得电力企业亟须能够实现全面覆盖、智能分析、主动防御的新型安全解决方案。亚信安全的基于 AI 技术的 XDR 平台解决方案，在该案例中展现出显著的优势、创新性和先进性。其优势在于：一是通过 AI 赋能，实现了对海量、多源安全数据（覆盖云、网、端）的深度分析和关联，突破了传统安全方案依赖规则和特征的局限，能够有效检测未知威胁和高级持续性威胁（APT）；二是将多个安全域的数据和能力集成在统一平台上，实现了跨域的威胁检测和响应，打破了传统安全产品各自为战的格局

287、，提高了安全防护的整体效能；三是引入了自动化响应和智能策略调整功能，最大限度减少了人工干预，提升了安全运维效率，降低了运营成本。其创新性体现在应用了如图神经网络（GNN）、深度异常检测等先进 AI 技术。其先进性则体现在以 XDR 理念为核心，整合多方安全能力，并以 AI 驱动实现精准运营。该案例对于面临复杂 IT/OT/IoT 融合环境、高安全要求和严格合规监管要求的行业具有重要的借鉴意义，特别是电力、石油石化、智能制造、交通等关键基础设施行业。其关键启示在于：统一的 XDR 平台是应对复杂异构环境、实现跨域安全协同的有效途径；AI 技术是提升高级威胁检测能力和安全运营效率的关键；自动化响应

288、和动态策略调整对于保障关键基础设施的业务连续性至关重要；选择能够提供深度融合 AI 能力和跨域整合能力的 XDR 解决方案是提升整体安全防护水平的关键。108第七章 ISOC 优秀案例研究强大的安全智能监管平台成为当务之急。该平台将有效提升网络安全防护能力，确保数字化转型稳健推进，保障企业的可持续发展。（2 2）用户挑战）用户挑战攻击方式多样：网络攻击手段层出不穷，攻击来源、目的、方法及规模复杂多变。云计算、大数据、移动办公等新应用带来新的安全风险，现有安全防护体系难以适应。产品能力割裂：企业在安全防御体系上部署了较为完备的基础安全产品，但仍以异构设备堆叠式建设为主，设备之间相互割裂，难以深度

289、协同，存在信息孤岛效应和防御孤岛效应。运营资源不足：面对层出不穷的网络安全事件，企业安全人才的短缺正在逐步扩大，同时缺少完善的流程制度以及评估机制，无法保障安全运营的实际效果。（3 3）案例实施）案例实施运用云原生微服务技术体系架构，通过数据中心完成对集团总部内外网网络安全相关数据的采集、分析、处理和存储，构建企业特有的网络安全监管库；基于网络安全能力中心，实现对全网的网络安全能力集成，打通各个安全设备、安全平台的能力壁垒和数据孤岛。结合网络安全运营中心，实现对安全运营目标、安全运营场景分类、安全运营场景分析、安全运营场景拆解等，结合网络安全事前、事中和事后等维度，保障对日常安全工作的覆盖，解

290、决重点和难点的网络安全运营问题。通过网络安全运营大屏，将网络综合态势、网络威胁监测、资产安全态势、网络攻击监测等数字化视图进行直观地呈现给各管理层。（4 4）关键成功因素）关键成功因素技术创新：云原生的微服务架构和容器化部署，提升平台的灵活性和可扩展性。引入自主可控的 CPU109第七章 ISOC 优秀案例研究和系统软件，增加安全性。高效集成：统一数据采集和分析，实现对各类安全数据的集中管理和处理。打通安全设备和平台的能力墙垒和数据孤岛，实现全网安全能力的集成。定制开发：构建可定制化开发的安全平台，拉通安全能力，使得平台能够满足企业的安全需求。（5 5）实施收益）实施收益安全运营自动化：面向安

291、全运营，以高效、有效为目标，编排和自动化为核心，将各种安全工具/系统与能力联动起来，实现基于实战的自动化协作；安全运营服务化：通过整合现有的安全工具/系统，建立弹性可扩展、快速可复制的安全能力，构建安全能力库，根据不同安全场景，对安全能力进行组合编排，以服务形式输出，为内外部业务安全需求提供高效支撑。安全运营常态化：将安全工作过程规范化、标准化，纳入统一结构化的工作流；整合安全业务流程，基于任务模式，实现人员安全工作常态化协同管理。截至目前，安全监管平台已成功整合并有效管理企业内部 20W+的各类资产，实现与外部多套系统的无缝集成与协同工作，为企业分子公司、基层单位以及合作伙伴提供强有力的支持

292、与保障。通过这一平台，该能源集团得以更加全面、精准地掌握企业全网网络安全态势，有效提升整体的安全防护能力与应急响应速度。安全牛评价安全牛评价大型能源企业在数字化转型背景下，IT 资产海量增长，云计算、大数据、物联网等新技术的广泛应用使得网络环境日益复杂，传统分散、被动的安全运营模式已难以为继。面临的主要痛点包括：攻击方式多样化，难以全面覆盖；安全产品能力割裂，存在信息孤岛和防御孤岛；运营资源不足，安全人才短缺且缺少完善的流程和评估机制。因此，建设集中化、统一化、功能强大的安全智能监管平台，实现对全网资产和安全的统一监控与管理，成为这类企业的迫切需求。神州泰岳为该能源集团构建的安全智能监管平台解

293、决方案，其核心优势和创新性在于：一是采用了云原生的微服务架构和容器化部署，提升了平台的灵活性、可扩展性和可靠性，并引入了自主可控技术增强安全性；二是实现了高效的数据集成和能力整合，通过构建统一的数据中心和网络安全能力中心，打通了各类安全设备和平台的数据壁垒和能力壁垒，实现了全网安全能力的集中管理和协同；三是强调“挂图作战”的可视化能力，将复杂的安全态势和运营数据直观呈现，有效支撑了管理决策和应急指挥；四是支持定制化开发，能够根据企业的具体业务需求和安全流程进行定制，确保平台与企业实际运营的紧密贴合。该案例对于大型集团化企业、关键基础设施行业（如能源、金融、电信、交通等）以及正在进行深度数字化转

294、型、面临复杂 IT 环境和高安全要求的组织具有重要的借鉴意义。其关键启示在于：构建统一、集成的安全监管平台是应对复杂环境、打破安全孤岛的关键；云原生架构能够为安全运营平台带来更好的灵活性和扩展性；强大的数据集成和可视化能力是提升安全运营效率和决策水平的重要支撑；平台的可定制化能力对于满足大型组织的特定需求至关重要；将安全运营流程规范化、服务化、常态化是提升整体运营效能的有效途径。110第七章 ISOC 优秀案例研究7.57.5 典型案例五典型案例五某电网公司智能安全运营解决方案（碳泽提供）某电网公司智能安全运营解决方案（碳泽提供）（1 1）案例背景）案例背景某电网公司作为国家特大型能源企业，

295、承担着全国 26 个省区市的电力供应，其业务的特殊性和重要性决定其 IT 环境的极端复杂性和对网络安全的高度依赖。公司拥有超过 500 个变电所、10000+公里输电线路和 200+数据中心节点，并采用大型混合云架构，这使得其 IT 基础设施的维护与管理面临巨大挑战。日均处理 50 万条安全的路径，以及三地五中心容灾架构等保 2.0 三级合规要求和跨云安全策略不一致等问题，该公司迫切需要一套能够有效多源数据、实现智能威胁检测和自动化响应的安全解决方案。（2 2）用户挑战）用户挑战传统 SOC 主要面临以下问题和挑战海量安全相当于难以有效应对。跨云、不同设备的安全运营管理复杂度。缺乏全局安全储备

296、能力。安全事件响应速度缓慢。合规审计工作烦琐。（3 3）案例实施）案例实施项目目标和需求：项目目标和需求：针对这些痛点，该公司提出构建全场景的数据需求融合能力，实现智能的威胁检测，自动化响应造成安全事件，应对电力行业 IT 环境的复杂性和规模庞大带来的安全挑战。（4 4）项目实施内容：）项目实施内容：针对上述问题，该公司采用碳泽超自动化安全运营平台，通过构建多源数据接入和智能配置能力，配置多维度关联分析和专项检测引擎，建立预置响应脚本库和自定义工作流程，引入智能体协同体系，实施资产风险管理、攻击面管理和知识库管理，构建框架采集大屏和指挥移动终端等一系列措施，实现数据融合、智能威胁检测、自动化响

297、应时间、智能体协同体系、安全运营管理和可视化协同。该平台关键技术包括多源融合技术、编织能排引擎和 AI 增强能力，部署架构上则采用新一代的 XDR 平台。（5 5）实施收益）实施收益该解决方案的关键成功要素在于技术创新、集成和自动化能力。技术高效体现在多源聚合技术、智能编排引擎和 AI 增强能力的应用，高效集成则体现在平台能够无缝集成各类安全设备和云平台，实现全局安全导出。自动化能力则体现在大量的运营工作都可以通过平台自动实现，释放大量的人力。实施后，该公司的运营指标得到显著提升，平均事件响应时间从每周 4.2 小时缩短至每周 18 分钟，另外有效识别率从 15%提升至 82%，人工操作活动从

298、 75%降低至 22%，合规审计通过率从 83%提升至 100%。在客户价值方面，该公司实战现已实现业务连续性保障，减少安全事件导致的事故，重要系统可用性达到 99.999%，节省安全运营人力成本约 200万/年，并减少违规损失风险，有望避免损失 500 万+。111第七章 ISOC 优秀案例研究安全牛评价安全牛评价超大型电网公司面临着极致的网络安全挑战：IT/OT/云环境高度复杂且规模庞大，安全数据量巨大（日均处理量可能达到数十万甚至百万条路径/事件），设备种类繁多且异构，跨地域、跨云管理难度极大，同时还需要满足等级保护等严格的合规性要求。传统的安全运营方式在这种环境下捉襟见肘，普遍存在海量

299、数据处理瓶颈、缺乏全局安全可视性、安全事件响应缓慢、合规审计工作繁琐等痛点，严重威胁电力系统的稳定运行。碳泽信息的智能安全运营解决方案，在该案例中展现了其独特的优势、创新性和先进性。其核心优势在于强大的数据融合能力和高度的自动化水平。平台能够有效融合多源异构数据，并通过智能编排引擎，将大量的安全运营工作自动化，显著释放人力。其创新性体现在引入 AI智能体协同体系，并结合多维度关联分析和专项检测引擎，实现了更智能的威胁检测和响应决策。该方案的先进性则体现在其自动化的理念，通过技术创新、高效集成和自动化能力，构建了全面的安全运营闭环，在复杂场景下取得了显著的量化效果率。该案例对于拥有超大规模、极端

300、复杂 IT/OT/云环境、面临海量安全数据和高合规性要求的关键基础设施行业，如大型电网、大型金融集团、超大型运营商、大型跨国企业等，具有重要的启示意义。其关键启示在于：对于超大规模复杂环境，超自动化是提升安全运营效率和效果的关键途径；强大的数据融合和智能编排引擎是实现超自动化的核心技术支撑；AI 增强能力（如智能检测、智能体协同）能够进一步提升自动化运营的智能化水平；通过量化指标体系衡量和展示自动化运营的成效至关重要；选择能够提供深度自动化、智能化和强大集成能力的平台是应对极端复杂安全挑战的有效策略。112第八章推荐厂商第第八八章章推荐厂商（按厂商首字母排序）推荐厂商（按厂商首字母排序）国

301、内智能化安全运营中心（ISOC）市场呈现出蓬勃发展的态势，吸引了各类安全厂商积极布局。不同类型的厂商，凭借其自身的技术积累、资源优势和市场策略，在 ISOC 建设方面展现出各自的优势和特点。安全牛基于研究与调研，推荐国内市场中部分具有代表性的 ISOC 相关厂商及其解决方案，为企业用户在进行 ISOC 规划和选型时提供参考。企业在选择 ISOC 厂商时，需要综合考虑企业自身的具体需求、预算、技术栈、行业特点等多维度因素进行综合评估。推荐厂商绿盟科技推荐厂商绿盟科技公司简介：公司简介：绿盟科技集团股份有限公司（简称“绿盟科技”），成立于 2000 年 4 月。绿盟科技在国内设有 50 余个分支机

302、构，为政府、金融、运营商、能源、交通、科教文卫、企业等各大行业用户与各类型企业用户提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。绿盟科技秉持智慧安全 3.0 理念，为政企用户提供安全检查与评估类、安全检测与防护类、认证与访问控制类、安全审计类、安全运营及管理类等 70 余款高品质安全产品。目前绿盟科技拥有员工总数近 4000 人，其中研发技术人员超过 2600 人，拥有各项专利 546 项、软件著作权 620 项。产品简介：产品简介：绿盟智能安全运营管理平台（NSFOCUS ISOP）是践行绿盟科技智慧安全 3.0 理念的核心支撑组件，以“AI实战化安全运营”为核心，围绕 IP

303、DR 打造纵深能力及安全运营的横向场景化能力，构建“全场景、智能化、实战化”的安全运营平台，实现“全面防护，智能分析，自动响应”的防护效果，支撑企业常态化安全运营体系建设。绿盟风云卫 AI 安全能力平台（简称“风云卫”）致力于彻底改变传统的网络安全运营模式，通过深度整合人工智能与安全领域的专业知识，应对日益严峻的网络威胁挑战。其核心目标在于提升安全运营的智能化水平，实现对复杂网络威胁的快速识别、精确分析、智能响应与有效防御，从而为企业和组织构建一个更加稳固、灵活且高效的网络安全防护体系。该平台专注于缩短威胁响应时间，提高检测精度，优化运营效率，并强化对敏感数据的保护，确保在数字化转型浪潮中，企

304、业和组织的关键资产得到全方位的安全保障。风云卫定位于成为安全运营中的智能中枢，是连接安全数据、分析能力与运营决策的桥梁。它不仅仅是一个技术工具，更是安全运营策略与实战经验的集大成者。通过将先进的大模型技术（SecLLM）、大数据处理、113第八章推荐厂商机器学习与安全专家的智慧深度融合，平台提供了一站式的安全运营支持，覆盖从告警降噪、威胁研判、处置响应到溯源分析的全链条安全运营流程。其定位为安全团队的智能助手，旨在增强团队的决策质量与响应速度，同时降低对人工专家依赖度，提升整体的安全防御效能。AI 赋能 ISOP 安全运营架构典型应用场景典型应用场景（1 1）安全运营智能化）安全运营智能化面

305、对日益增长的安全威胁和数据，传统的安全运营方式已无法满足用户需求。针对海量告警，传统人工运营需要操作员具备一定的安全运营经验，且通常需要消耗大量的时间。在安全运营的各阶段，传统人工运营均存在一定的缺陷。整合绿盟风云卫 AI 安全能力平台、绿盟安全运营平台（ISOP）能力，构建智能安全运营解决方案，利用生成式人工智能的力量，来应对日益严峻的威胁形势。通过将 AI 能力原子化嵌入到 ISOP 系统的各功能，提供自然语言的 AI 助理能力，以机器速度和规模帮助企业提升安全运营效率和能力，在安全运营的各阶段解决安全运营痛点：降噪分诊：采用 AI 基线+资产图谱结合的形式实现智能降噪和业务误报优化，基于

306、用户场景推荐分类方案，并结合专家意见调整优化。威胁研判：自动分析 payload 关联日志和情报给出攻击是否有效及是否成功的判断参考和解释，并基于场景给出研判方法和依据威胁处置：快速生成处置建议，自动生成响应脚本及防护规则并支持手工调整，下发执行。溯源遏制：快速生成溯源遏制阶段推荐操作，给出推荐使用工具，并辅助运营人员进行影响面分析。（2 2）威胁情报智能化）威胁情报智能化威胁情报往往涉及多源异构、多模态、多语言的开源情报以及数量庞大的实时网络威胁数据（如恶意域名、IP、URL、文件等）。这些信息包含大量有价值的内容，为更好地应对未知的安全风险，用户或分析师往往需要从中整合、精炼高价值内容，并

307、根据应用场景对情报进行深度的挖掘、演绎、推理和应用。然而这一过程往往费时费力，且对操作者的专业性有着较高的要求。整合绿盟风云卫 AI 安全能力平台、绿盟威胁情报平台（NTIP）能力，构建智能威胁情报解决方案。以 NTIP作为情报生产和情报运营中枢，进行绿盟云中威胁情报数据以及第三方威胁情报数据的接入。依托 AI 安全能力114第八章推荐厂商平台的语义理解能力和推理分析能力，实现情报的智能融合与深度挖掘，并以自然语言的形式提供专家级解读与分析。推荐理由推荐理由具有前瞻性的 AI 应用规划、丰富的攻防数据积累以及中台化的设计思路；强调 AI 以人为本，将自研的“风云卫”安全大模型与丰富的攻防实战

308、数据相结合，通过中台化设计实现数据的高效利用，赋能安全运营；在钓鱼识别等特定威胁检测方面准确度较高；将大模型应用于智能问答（提供威胁的思维链问答）和安全分析（利用思维链进行数据解读和研判分析），致力于构建具有引导性和实战性的智能安全运营体系；威胁情报整合能力。深度分析多源威胁情报并提供专家解读，建立详尽的威胁画像，把握安全态势，做出前瞻性的防御决策；对非结构化数据的支持。提供敏感数据智能识别与管理，自动识别敏感信息，提升数据分类与保护的精确度，降低数据泄漏风险，强化数据治理能力。推荐厂商奇安信推荐厂商奇安信公司简介：公司简介：奇安信科技集团股份有限公司（简称“奇安信）成立于 2014 年，是专

309、注于网络空间安全市场，提供新一代企业级网络安全产品和服务的供应商，2020 年登陆科创板上市。持续的创新研发和实战攻防能力是奇安信的核心优势。数字经济和人工智能时代，奇安信把握大数据、人工智能等新技术发展趋势，率先布局“人工智能+安全”，创新推出首批工业级大模型安全人工智能产品 QAX-GPT 安全机器人和大模型卫士产品系列，奇安信自主研发的 QAX 安全大模型智能底座已全面完成了 DeepSeek 的深度接入，率先将其引入到威胁研判、安全运营、渗透测试和漏洞管理、身份与访问管理、网络钓鱼防护、恶意软件和勒索软件防护、数据泄露防护、安全培训、供应链安全等场景之中，展示了卓越的技术实力和创新能力

310、。产品简介：产品简介：（1 1）AISOCAISOC 安全运营智能体安全运营智能体奇安信 AISOC 是奇安信 NGSOC 与奇安信安全大模型深度融合的智能化态势感知与安全运营产品。产品以“智能副驾驶（Copilot）”模式为核心，通过自然语言交互，模拟顶级安全专家逻辑，实时指导运营人员自动化完成告警研判、事件调查、响应处置及报告生成等全流程运营闭环操作，让传统依赖人工经验的繁杂安全运营工作变得“简单、高效、省心”。通过将 AI 能力深入嵌入到多源告警关联、威胁狩猎、策略调优等高阶场景，实现“复杂攻击链一键穿透、安全事件快速联动处置”。AISOC 不仅让安全运营效率实现指数级增长，还可将115

311、第八章推荐厂商威胁平均响应时间（MTTR）压缩至分钟级，以超越攻击者的响应速度重构主动防御体系，有效解决告警疲劳、人才短缺、技能不足等行业痛点，推动企业网络安全运营从“手动驾驶”向“自动驾驶”的跨越式升级。典型应用场景：典型应用场景：包括告警智能研判、告警智能关联、事件自动调查、事件联动处置、智能创建响应预案、告警规则智能优化、自动提取内生情报、事件报告自动化生成、安全通识智能问答等应用场景。行业用户行业用户：主要聚焦于大型企业、金融机构、电子政务、能源、医疗等行业。图奇安信 AISOC 产品功能架构（2 2）AI+AI+代码卫士代码卫士奇安信网神代码卫士系统（简称：代码卫士）是一款静态应用

312、程序安全测试系统，该系统提供了一套企业级源代码缺陷分析、源代码缺陷审计、源代码缺陷修复跟踪的解决方案。随着大型机器学习模型的快速发展，源代码缺陷审计领域迎来了新的变革。大模型通过训练学习了海量的代码库和相关文档，不仅掌握多种编程语言的语法和结构，还能够理解源代码的语义和上下文。代码卫士结合大模型技术，推出了“AI+”功能，通过该功能可以自动化、批量化进行代码审计，为开发人员提供个性化、专业化缺陷描述、修复建议、加固代码，帮助开发人员高效提升代码质量，构建信息系统的“内建安全”。三大核心功能：116第八章推荐厂商1 1智能化缺陷审计智能化缺陷审计通过应用程序静态分析技术检测出的源代码缺陷结果，

313、需要代码审计人员根据缺陷的数据来源、数据传递、函数的调用等关键信息，来确认检测结果，排除误报数据。这一过程对于大型项目的源代码仓库来说尤为复杂，因为检测结果往往数量庞大，需要花费较长时间来对每个缺陷进行逐一审计。这种传统的人工缺陷审计方法效率低，同时，还可能遗漏、错误审计相关的缺陷。为了解决这一问题，引入大模型技术可以显著提高审计效率和准确性。AI+代码卫士，代码卫士将检测结果的相关信息进行提取，与大模型进行交互，大模型根据这些信息进行分析、推理，可以快速识别出真正的缺陷，排除误报数据。2 2智能化缺陷信息智能化缺陷信息源代码安全检测工具的缺陷知识库一般采用通用缺陷描述和缺陷修复建议，对于同种

314、类型不同源代码安全缺陷结果缺乏针对性，导致开发人员需要花费更多的时间去研究和理解特定源代码安全缺陷产生的根源，这无疑增加了解决问题的难度和所需的时间。“AI+”功能借助大模型的强大语言理解和生成能力，通过分析源代码缺陷的具体上下文，提供更加精确和详尽的缺陷描述，帮助开发人员和代码审计人员快速判断缺陷的严重性，缺陷产生的具体原因。3 3智能化缺陷修复智能化缺陷修复源代码安全缺陷修复是一个复杂的过程，要求开发人员不仅要深入理解缺陷产生的根源，还要对缺陷代码的上下文有很好的理解，其中包括但不限于变量的作用域、函数的调用关系等。“AI+”功能通过大模型能够理解和模拟复杂的编程模式和代码结构，结合代码卫

315、士检测结果，可以深入地理解存在缺陷代码的上下文，提供具有针对特定缺陷的定制化修复方案。加特林 AI 红队版117第八章推荐厂商智能红队（加特林 AI 红队版）是奇安信自动化渗透测试系统（加特林）与奇安信大模型（QAX-GPT）结合的另一个经典案例。以大模型的安全能力为基础的多智能体架构，将加特林的渗透测试能力封装成工具链，通过向量知识库保存渗透测试过程中的长上下文，实现的一个具备完整红队渗透任务的自动化渗透测试智能体，可以高效帮助用户完成攻防演练、渗透测试等过去耗时耗力的任务。推荐理由推荐理由AI 安全领域的持续投入和领先实力；以 QAX-GPT 安全大模型为核心的 AISOC 解决方案；A

316、I 智能化应用能力，自研 QAX-GPT 经过大量真实数据训练，在安全知识问答、报告生成、威胁情报分析、SOAR 剧本生成、自然语言交互等方面表现突出；高效的告警降噪与智能研判能力，通过告警关联智能体、溯源调查智能体等，大幅提升告警准确率和事件分析效率；118第八章推荐厂商领先的自动化运营能力，实现从威胁检测到响应处置的全流程一体化和自动化；全面的安全运营解决方案，覆盖威胁检测、智能研判、事件分析、威胁狩猎、风险评估、策略优化等多个环节；提供定制化解决方案以满足不同行业需求。推荐厂商神州泰岳推荐厂商神州泰岳公司简介：公司简介：北京神州泰岳软件股份有限公司（简称“神州泰岳”），于 2001 年

317、成立，深耕信息技术领域，公司以打造行业精品、支撑客户提升、推动产业发展为使命，立志成为数智化浪潮中持续创新的领航者。泰岳安全是神州泰岳集团旗下信息安全公司，2002 年进入信息安全软件领域，秉承“平台化安全连接，数智化安全运营”的先进理念，全链管控，纵深推进产品化转型，成功打造出涵盖资产安全平台、身份安全平台、安全运营中心、安全审计平台及态势感知平台在内的多元化产品线，为企业信息安全筑起铜墙铁壁。泰岳安全依托北京研发中心，以及广州、沈阳、郑州、石家庄、重庆五大研发基地，汇聚顶尖技术人才，累计荣获近百项专利及软件著作权，专注于为运营商、能源、金融、交通等关键行业提供定制化的安全软件与解决方案。产

318、品简介：产品简介：1.Ultra-AIS1.Ultra-AIS 自智安全大模型系统：自智安全大模型系统：基于“1+2+4+N”AI 赋能体系，通过 1 个安全大模型（SecAI+），2 个双驰引擎（SmartAI+SmartGPT），4 个增强纬度（检测、监测、运营、管控），N 个 AI 安全能力子场景对安全运营和防护的各个阶段进行赋能。提供智能问答、安全检测、日志解析、故障排除、文档处理等功能。119第八章推荐厂商核心功能：智能问答：通过自然语言交互，提供安全专业知识问答，辅助安全运营闭环。安全检测：基于组织日志、流量和告警数据，检测潜在威胁并提供处理建议。文档处理：智能化处理安全文档，提

319、高交付效率。模型管理：支持模型的自定义、监控、调优和更新，实现安全知识的自我修订和优化。应用场景：适用于安全运营、安全运维、事件分析、故障排查等场景。2.Ultra-SOMC2.Ultra-SOMC 安全运行管理中心：安全运行管理中心：Ultra-SOMC 安全运行管理中心作为运营支撑平台，以企业安全运营工作统一化、数字化、自智化为目标，通过灵活的剧本编排和能力整合以及底层工作流作为支撑，达到安全场景的全覆盖和安全业务流程的线上化、闭环化执行，并通过多维度可视化的度量视图提供丰富清晰的安全运营数据，方便用户全面了解当前环境的安全质量、安全运营工作带来的价值以及安全运营工作执行成果等信息。核心功

320、能：一体化集中运营支撑：提供一体化统一门户，增强人员、能力、业务协同效率。风险处置与能力管理：联动合规平台，实现资产弱点预警、能力监测和问题闭环处置。安全威胁处置与剧本编排：通过拖拉拽方式编排安全运营剧本，实现安全事件管理闭环。系统定级备案：支持动态表单设计，实现系统定级备案的线上化管理。重大活动保障：提供统一作战挂图，实现重大活动保障的线上管理和知识沉淀。应用场景：适用于组织安全运营管理、网络安全监控、重大活动安全保障等场景。推荐理由推荐理由“一中心+三平台+X 产品”的一体化安全运营中心。整合身份安全、资产安全、安全管理进行统一管120第八章推荐厂商理；“1+N+X”大模型产品体系。注重

321、行业实践和业务场景的 AI 创新应用；AI 技术研发能力。拥有威胁情报分析等近百项专利，创新 BERT-EMD 的方法提升 AI 应用的效率和效果；应用创新能力利用。在告警提炼、智能研判和联动处置等安全领域有创新应用；灵活的定制化能力。提供无代码的自动化平台工具和可定制的安全策略；深耕能源和运营商等行业，深入的行业理解。推荐厂商推荐厂商-碳泽碳泽公司简介：公司简介：上海碳泽科技有限公司（简称“碳泽”）成立于 2017 年，总部位于上海，是一家专注于安全运营领域的高新技术企业。愿景是成为世界级网络安全运营产品与解决方案提供商，保护人类数字资产，为数字世界创造安全未来。战略是以自主研发为核心，聚焦

322、安全运营自动化领域，构建新一代智能安全运营平台，通过“产品打磨+市场拓展+生态合作”模式，覆盖全生命周期安全需求，推动 AI 技术与安全运营深度融合，提升威胁响应效率与精准度。核心产品包括运营安全自动化平台、漏洞风险管理系统和自动化渗透测试系统，市场布局覆盖全国，主要服务于军政、金融、通信、能源等重点行业。公司已为近百家客户提供安全解决方案，客户群体包括大型企业、政府机构以及关键基础设施领域。同时加强国际化布局：产品已进入非洲、东南亚、港澳等海外市场，服务全球客户。产品简介：产品简介：碳泽超自动化安全运营管理平台基于全新 ISOC 理念，将传统技术与先进人工智能深度融合，构造了一套“智能体知识

323、中枢决策引擎”三层认知架构，旨在实现安全全链路自动化、智能化和高效协同。平台整合智能化资产管理、漏洞与未知威胁识别、威胁检测与评估、日志筛选分析和关联处理、情报分析与管理、用户异常行为监测、事件调查、态势感知与预测预警、事件分级、决策建议及自动化响应等多个模块，充分发挥 SOC与 SIEM 产品的传统优势，同时引入机器学习、深度学习、神经网络、知识图谱、大规模语言模型及 AI 智能体等前沿技术，在数据采集、风险预测、应急响应等环节建立起一体化、全闭环的安全体系。121第八章推荐厂商推荐理由推荐理由低代码的 AI+SOAR 编辑平台：具有较强的自动化和编排能力，并提供低代码平台，简化安全运营流

324、程的定制和自动化；多种 AI 创新应用：碳泽的多种 AI 创新应用包括 Agent 智能体编排、智能电网安全运营、自动化模拟攻击、自动化风险评估、自然语言生成工作流、动态知识图谱实时推演攻击链、攻击模拟等；智能化数据分类分级和数据保护：碳泽提供智能化数据分类分级和数据保护功能，如机密数据沙箱环境、动态脱敏，并实现泄密事件 100%定位；近 200+种安全运营自动化实践积累；对金融、能源、运营商行业有深入了解。推荐厂商推荐厂商-亚信安全亚信安全公司简介：公司简介：亚信安全科技股份有限公司（简称“亚信安全”），秉承建网基因，坚守护网之责，以护航产业互联为使命，以安全数字世界为愿景，亚信安全依托云、

325、网、边、端、数的优势能力布局，形成产品+平台+服务的“云122第八章推荐厂商化、联动化、智能化”安全治理系统。随着技术不断迭代以及 AI 等新技术的创新应用，亚信安全 XDR 升级为集云原生 XDRSaaS 平台、全栈式的 XDR 全面检测与响应本地平台、7*24MDR 专家服务团队为一体的 XDR 整体解决方案，并已广泛应用于金融、运营商、能源、高端制造等各大行业。产品简介：产品简介：亚信安全推出 AI 驱动的 XDR 平台，致力于实现“检测即终止”的威胁响应闭环。该平台深度整合 AI 技术与全面的安全数据，不仅能精准识别包括 0day 攻击的高级威胁，还能配置攻击者概率，自动优化响应策略

326、，从而大幅提升威胁处理效率。通过集成大模型，亚信安全 XDR 平台构建智能事件聚合引擎，并融合威胁情报库与 ATT&CK 模型，提供高度定制工厂化的威胁警报方案。其智能规则和在安全运营全流程中，亚信安全 XDR 平台利用大模型技术，提供策略仿真、解读、相关插件研判和 RAG 库等服务，极大赋能安全运营人员。此外，平台还支持对话式数据与统计，以及调用，实现安全对应、指令生成和 SOAR 调用的闭环，旨在为用户提供智能、高效插件、自动化的安全运营体验。主要功能包括：安全问答：运用大模型技术，智能地理解和回答安全领域的专业问题，构建安全运营人员工作助手。告警解读：运用大模型技术，对告警、事件进行语义

327、解析，以自然语言的方式对告警、事件内容进行解读与呈现，并给出后续合理的处置建议。告警研判：运用大模型技术，对告警进行二次研判，准确输出正报、误报或者无法研判的结果。RAG 库查询：运用大模型技术和 RAG 技术，智能地综合安全领域专业知识和用户自身安全运营数据和情报信息，帮助客户依据业务快速解答专业问题。数据查询与统计：支持对话式交互，可对资产、漏洞、告警等进行多维度查询统计，还能自定义筛选条件。插件调用：打通安全告警处置、指令生成和 SOAR 插件调用闭环流程，已实现对 IP 和域名的有效封堵。123第八章推荐厂商推荐理由推荐理由打造统一的智能化管理平台，其新一代 XDR 平台基于自研的信

328、立方大模型，提供云、网、端融合分析能力，构建全局防御闭环；较强的数据处理和分析能力，能够接入处理来自终端、网络、云等多源异构的安全数据，形成高清日志，并进行多维度分析，支撑全面掌握网络安全态势；丰富的检测分析引擎，通过多维度分析覆盖 12 大类安全领域、超过 100 个 XDR 场景和 10 多类专项分析场景，显著提高高级威胁检测能力；自动化处理能力，能够自动生成处置建议，支持边界一键封堵、终端一键查杀等动态响应。高效的告警筛选能力，基于 AI 算法+威胁情报，智能过滤无效告警，聚焦高置信度威胁，具有较高的准确率和较低的误报率。全覆盖的智能化运营场景，涵盖资产全周期管理、多维度分析、事件监测与

329、响应、威胁狩猎、脆弱性管理、重保指挥等环节。其他特色厂商其他特色厂商此外，其他厂商在智能安全运营方面各有侧重，都积极探索利用 AI 技术进行安全运营的创新。核心价值核心价值描述描述客户痛点客户痛点一点发现，全网免疫全面兼容各类端，网、云、边设备接入和统一管理XDR 安全事件分析，威胁全局可视化、一站式调查处置闭环安全设备繁多，管理困难，响应处置效率低设备告警多，形成数据孤岛，跨设备安全分析和调查难98%AI 告警降噪比通过内置规则，基于 AI 算法和威胁情报能力，告警降噪比达 98%，安全可运营噪音太多，运营成本高，响应慢告警噪音太多，导致无法运营，最后真实攻击被淹没在噪音中，导致实际攻击的发

330、生AI 自动化事件研判结合威胁情报，高清日志、资产和漏洞等数据，借助 AI 精准事件定性和处置建议运营人员人手不够或能力不足人工调查和响应时间长124第八章推荐厂商其他特色厂商其他特色厂商安恒信息：安恒信息：具有丰富安全服务经验，开发了多种智能体，如数据分类分层和告警研判智能体，并结合低代码平台，提供定制化、标准化的安全运营解决方案。观安信息：观安信息：预置丰富的 AI 功能和低代码智能体开发平台，为客户提供功能全面、灵活定制、易于使用的智能安全运营方案。浪潮云：浪潮云：发挥云厂商的生态优势，强调服务团队架构优化和工单整合的安全运营服务，重视广泛的生态伙伴合作，打造云生态的智能安全运营。联通

331、数科：联通数科：拥有运营商的云网数据资源优势，将海量数据转化为安全情报，打造以大模型为核心的智能安全运营服务。新华三新华三：以 ASOP 方法论为指导，通过成熟度和健康度双指标量化体系，结合安全大模型赋能的四大应用场景，打造一体化智能安全运营平台。掌数科技掌数科技：独特的业务视角将 IT、SOC 和 SOAR 能力与业务融合，聚焦于异常行为检测，通过图神经网络技术，实现对安全威胁、0day 漏洞异常的全面监控与响应。125第九章挑战与未来第九章第九章挑战与未来挑战与未来国内智能化安全运营中心（ISOC）的建设虽然取得了初步成效，展现出巨大的发展潜力，但其全面推广和深化应用仍面临诸多挑战。克

332、服这些挑战，把握未来的发展趋势，对于企业有效利用 ISOC 提升安全能力至关重要。本章将深入分析当前 ISOC 建设面临的主要挑战，并展望其未来的发展方向。9.19.1 目前面临的挑战目前面临的挑战1 1）ISOCISOC 落地仍面临多重挑战落地仍面临多重挑战尽管 ISOC 代表了安全运营的未来趋势，但国内组织在实施过程中仍面临着多种实际挑战。根据安全牛 2025年用户调研数据显示，企业用户对 ISOC 的实施普遍存在顾虑，其中误报率过高（71%）、数据质量问题（48%）、与现有系统集成困难（48%）以及 AI 可解释性不足（43%）是最主要的担忧因素。企业面临的应用挑战AIAI 技术方面的挑

333、战：技术方面的挑战：高误报率与准确性：当前 AI 模型，特别是用于威胁检测的模型，在复杂场景下的误报率和漏报率仍需安全牛分析安全牛分析ISOC 的成功普及需要企业、安全厂商、研究机构等多方共同努力，协同克服一系列挑战。这些挑战既包括 AI 技术本身的问题，也涉及企业实施层面的障碍：126第九章挑战与未来持续优化，以避免“告警疲劳”并确保关键威胁不被遗漏。AI 可解释性（XAI）：“黑盒”问题限制了安全分析师对 AI 决策的信任和理解，需要发展和应用更有效的 XAI 技术。AI 自身安全性：AI 模型和智能体本身可能成为攻击目标（如对抗性攻击、模型窃取），需要加强 AI自身的安全防护。可靠性与稳定性：需要确保 AI 系统在各种环境下的稳定运行和可靠决策，避免因 AI 故障导致安全问题。实施方面的挑战：实施方面的挑战：数据质量与治理：高质量的数据是 AI 模型效果的基石，但企业普遍面临数据源

安全牛：智能化安全运营中心应用指南（2025版）（135页）.pdf

安全牛：智能化安全运营中心应用指南（2025版）（135页）.pdf

相关图表

相关报告