《騰訊安全：2023年SOC+安全運營體系白皮書（93頁）.pdf》由會員分享，可在線閱讀，更多相關《騰訊安全：2023年SOC+安全運營體系白皮書（93頁）.pdf（93頁珍藏版）》請在三個皮匠報告上搜索。

1、SOC+安全運營體系白皮書以威脅情報和攻防對抗為原子能力，聚焦安全運營的未來式排名商品名稱購買人數總銷售額1xxx手機123234人76312.92xxx電風扇92323人76312.93xxx冰箱91322人76312.94xxx榨汁機88322人76312.95xxx電視86312人76312.96xxx游戲機76312人76312.97xxx電腦56312人76312.9xxx筆記本46752人76312.99xxx水杯35312人76312.910 xxx口罩23847人76312.986%86%86%總入駐率服務占比商品占比32.8%07-0807-0807-0807-0807-08

2、2022.12報告顧問方斌 楊光夫編寫組成員騰訊安全洪春華 劉桂澤 孫亞東 傅偉鑌 黃羽 程碧淳 陳沅琳王未來 李國民 劉玲 陶夏溦 齊恒 李晨東騰訊知識產權部黃超 鄭劍鋒專家組成員程文杰 徐展 陳龍 潘佳旭 方正華 許志雄 周穎 李誠編寫人員名單報告顧問方斌 楊光夫編寫組成員騰訊安全洪春華 劉桂澤 孫亞東 傅偉鑌 黃羽 程碧淳 陳沅琳王未來 李國民 劉玲 陶夏溦 齊恒 李晨東騰訊知識產權部黃超 鄭劍鋒專家組成員程文杰 徐展 陳龍 潘佳旭 方正華 許志雄 周穎 李誠編寫人員名單寄 語 歡迎！隨著數字化浪潮的蓬勃興起，各類政企機構上云步伐加快。與此同時，如高危漏洞、勒索病毒、挖礦木馬、APT攻擊

3、等威脅層出不窮，安全形勢日益嚴峻。許多政企機構雖部署了較為完備的基礎安全產品，但防御體系仍以異構設備堆疊式為主，各設備相互割裂、難以深度協同，缺乏全局數據的可見性和主動防御能力。面對指數級增長的威脅和告警，傳統的安全防御往往力不從心。政企機構亟需一款成熟的、有體系、現代化的SOC，驅動安全運營整體能力朝“實戰化”不斷升級和演進?！癝OC+安全運營體系”是騰訊安全面向產業數字化轉型推出的新理念，強調以威脅情報運營和攻防對抗為基礎，構建起“情報-攻防-服務-生態”的閉環安全運營體系。目前，騰訊SOC+集成了TIX威脅情報中心、SOC安全運營平臺、NDR網絡威脅檢測與響應、MDR安全運營服務四大產品

4、矩陣，可支撐政企機構建立起技術、人員、流程一體化的安全運營體系，全面提升安全防護能力和安全運營效率。未來，騰訊安全將依托威脅情報云將騰訊20多年攻防實戰經驗、業內頂尖安全實驗室的安全能力、算法算力平臺的安全大數據和AI技術，持續賦能并完善騰訊SOC+安全運營體系，為產業數字化升級保駕護航。騰訊安全副總裁：方斌CONTENTS目 錄目 錄CONTENTS一、企業安全運營行業發展特征（一）安全運營產業發展歷史1.SIEM打造安全工具階段2.態勢感知融合發展階段3.現代SOC創新發展階段（二）我國安全運營產業發展驅動因素1.合規驅動2.業務風險驅動1.美國率先開展安全運營中心探索與部署2.美國安全運

5、營特征與演變（三）海外安全運營產業發展特點3.其他國家SOC發展特點1.威脅情報云打造安全生命周期“閉環能力”2.連接效能提升實現安全能力“集群效應”3.開放平臺打造安全共贏“朋友圈”（一）數字化轉型重塑IT架構，導致攻擊面擴大（二）攻擊方法層出不窮，安全挑戰指數級增加二、企業安全運營面臨新形勢（三）產品能力割裂，體系化能力建設不足（四）安全人才短缺，運營效果難保障（一）“SOC+”三大進階理念01010204070709121213151717三、“SOC+安全運營體系”構建安全防護新理念181819192020（一）SOC相關整體標準（二）重點領域標準制定情況（三）SOC標準演進趨勢六、S

6、OC成熟度模型七、未來展望五、SOC標準加快應用落地（一）模型基本情況（二）SOC成熟度模型實踐（一）貼近實戰構建“防得住”的安全運營體系（二）人機匯智發揮專家經驗與人工智能雙重融合優勢（三）多維協同實現云端賦能-本地聯動-產業鏈協同閉環（四）生態融合提升綜合安全效能的必然選擇495052535861616262（三）騰訊SOC+安全運營體系優勢（二）SOC+安全運營體系“架構進階”1.原子力（Atomic Force）構筑：“情報、攻防”兩大基礎底座2.產品力（Product Force）打造“核心-基礎-抓手-載體”產品理念3.生態力（Ecological Force）實現“共享-互補-共

7、建”安全協同機制2224242527四、SOC+安全運營體系四大進階價值（一）TIX威脅情報中心構建彈性協同安全體系（二）SOC聚焦威脅檢測與事件響應（三）NDR以實戰驅動，智能化部署網絡安全防護體系（四）MDR構建最佳的安全運營效果29354045CONTENTS目 錄目 錄CONTENTS一、企業安全運營行業發展特征（一）安全運營產業發展歷史1.SIEM打造安全工具階段2.態勢感知融合發展階段3.現代SOC創新發展階段（二）我國安全運營產業發展驅動因素1.合規驅動2.業務風險驅動1.美國率先開展安全運營中心探索與部署2.美國安全運營特征與演變（三）海外安全運營產業發展特點3.其他國家SOC

8、發展特點1.威脅情報云打造安全生命周期“閉環能力”2.連接效能提升實現安全能力“集群效應”3.開放平臺打造安全共贏“朋友圈”（一）數字化轉型重塑IT架構，導致攻擊面擴大（二）攻擊方法層出不窮，安全挑戰指數級增加二、企業安全運營面臨新形勢（三）產品能力割裂，體系化能力建設不足（四）安全人才短缺，運營效果難保障（一）“SOC+”三大進階理念01010204070709121213151717三、“SOC+安全運營體系”構建安全防護新理念181819192020（一）SOC相關整體標準（二）重點領域標準制定情況（三）SOC標準演進趨勢六、SOC成熟度模型七、未來展望五、SOC標準加快應用落地（一）模

9、型基本情況（二）SOC成熟度模型實踐（一）貼近實戰構建“防得住”的安全運營體系（二）人機匯智發揮專家經驗與人工智能雙重融合優勢（三）多維協同實現云端賦能-本地聯動-產業鏈協同閉環（四）生態融合提升綜合安全效能的必然選擇495052535861616262（三）騰訊SOC+安全運營體系優勢（二）SOC+安全運營體系“架構進階”1.原子力（Atomic Force）構筑：“情報、攻防”兩大基礎底座2.產品力（Product Force）打造“核心-基礎-抓手-載體”產品理念3.生態力（Ecological Force）實現“共享-互補-共建”安全協同機制2224242527四、SOC+安全運營體系

10、四大進階價值（一）TIX威脅情報中心構建彈性協同安全體系（二）SOC聚焦威脅檢測與事件響應（三）NDR以實戰驅動，智能化部署網絡安全防護體系（四）MDR構建最佳的安全運營效果29354045八、騰訊SOC+實踐（一）混合多云統一安全運營中心1.項目背景2.解決方案3.方案價值65676965（二）高級威脅(APT)檢測與響應系統1.項目背景2.解決方案3.方案價值70717270（三）基于情報與攻擊面管理的主動防御體系1.項目背景2.解決方案3.方案價值73737473（四）重保/攻防演練防護體系1.項目背景2.解決方案3.方案價值75757775（五）內部違規與用戶行為異常檢測項目1.項目背

11、景2.解決方案3.方案價值79808179（六）安全服務托管MSSP平臺1.項目背景2.解決方案3.方案價值83848583目 錄CONTENTS八、騰訊SOC+實踐（一）混合多云統一安全運營中心1.項目背景2.解決方案3.方案價值65676965（二）高級威脅(APT)檢測與響應系統1.項目背景2.解決方案3.方案價值70717270（三）基于情報與攻擊面管理的主動防御體系1.項目背景2.解決方案3.方案價值73737473（四）重保/攻防演練防護體系1.項目背景2.解決方案3.方案價值75757775（五）內部違規與用戶行為異常檢測項目1.項目背景2.解決方案3.方案價值79808179（

12、六）安全服務托管MSSP平臺1.項目背景2.解決方案3.方案價值83848583目 錄CONTENTS一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART 信息安全建設早期，惡意代碼和惡意軟件層出不窮。為打破各類安全設備和系統間的“安全防御孤島”，SIEM（Security Information and Event Management，以下簡稱“SIEM”）作為早期安全工具，開始在一些大型龍頭企業內部使用，同時還在歷史數據保留和法律合規方面發揮著一定的作用。SIEM在早期采用了較為基礎的關聯引擎，但是對非結構化數據的本地處理能力較

13、弱，需要用戶花費大量時間進行數據查詢，并且對安全事件發生的原因分析也較為初級。隨著Splunk公司進入SIEM市場，并創新性的開發了一種靈活而強大的數據存儲和搜索引擎，使得SIEM工具更容易獲取、搜索、存儲和顯示數據。但是，當以0Day攻擊為代表的高級威脅大量出現后，SIEM行業的競爭格局再一次開始改變。傳統的SIEM工具由于存在難以實現精準告警、漏報較為嚴重等問題，已不是企業安全運營團隊的理想選擇。同時，有研究數據顯示，有41%的受訪企業表示：缺少熟練的安全工作人員來有效運行SIEM，也是當前面臨的主要問題。隨著人工智能、機器學習算法和神經網絡的發展，SIEM對幫助企業識別潛在安全威脅和漏洞

14、安全解決方案的需求不斷增加。尤其是后疫情時代，企業的網絡邊界越來越模糊，安全風險激增；要求SIEM的不斷完善與創新，自動收集和分析數據，簡化安全管理并盡早檢測企業相關違規行為，從而推動SIEM不斷發展和演進。SIEM可以識別用戶、設備和應用程序的網絡活動，有效提高整個基礎設施的可見性并檢測威脅。根據Valuates的研究報告顯示：到2027年SIEM的全球市場規模預計將從2020年的39.4億美元增長至64.4億美元，其中持續監控和事件響應、合規要求以及日志管理等成為主要推動力量。企業安全運營行業發展特征THE FIRST PART安全運營產業發展歷史01010201SIEM打造安全工具階段

15、態勢感知的概念最早主要是由SIEM產品承載，定位于安全日志的統一收集、安全事件分析和審計。態勢感知覆蓋感知、理解和預測三個層次，隨著計算機網絡的發展又提出了“網絡態勢感知（Cyberspace Situation Awareness，CSA）”，即在大規模網絡環境中對引起網絡態勢發生變化的要素進行獲取、理解、展示以及對發展趨勢進行預測，從而幫助決策和行動。2016年以后，受益于國家戰略層面的重視，態勢感知進入蓬勃發展期。這其中攻防實戰需求和大數據技術能力成為態勢感知成功落地的底層驅動力：目前，態勢感知應用整體來看主要有兩個大類：一類是定位于合規需求，以滿足等保2.0和行業監管的要求。統一采集、

16、分析和存儲安全日志，用于監控、審計、統計分析、態勢展示和指揮通報等。另一類是滿足業務發展的安全需求。側重于安全運營效果和效率的提升，如高級威脅發現，檢測、分析、響應、處置的一體化等。往往需要采用多產品融合戰略，最大化降低集成的復雜度，以運營體系應對安全威脅。02態勢感知融合發展階段從需求角度看，單點防護和已知特征檢測等技術已經不能滿足復雜的安全形勢和實戰對抗需求，需要采取更多樣、深層次的綜合防御措施；新技術快速發展，海量數據存儲與分析可以以較低成本實現，這為態勢感知提供了大量技術支撐，大量態勢感知應用開始出現。一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征

17、THE FIRST PART 信息安全建設早期，惡意代碼和惡意軟件層出不窮。為打破各類安全設備和系統間的“安全防御孤島”，SIEM（Security Information and Event Management，以下簡稱“SIEM”）作為早期安全工具，開始在一些大型龍頭企業內部使用，同時還在歷史數據保留和法律合規方面發揮著一定的作用。SIEM在早期采用了較為基礎的關聯引擎，但是對非結構化數據的本地處理能力較弱，需要用戶花費大量時間進行數據查詢，并且對安全事件發生的原因分析也較為初級。隨著Splunk公司進入SIEM市場，并創新性的開發了一種靈活而強大的數據存儲和搜索引擎，使得SIEM工具更

18、容易獲取、搜索、存儲和顯示數據。但是，當以0Day攻擊為代表的高級威脅大量出現后，SIEM行業的競爭格局再一次開始改變。傳統的SIEM工具由于存在難以實現精準告警、漏報較為嚴重等問題，已不是企業安全運營團隊的理想選擇。同時，有研究數據顯示，有41%的受訪企業表示：缺少熟練的安全工作人員來有效運行SIEM，也是當前面臨的主要問題。隨著人工智能、機器學習算法和神經網絡的發展，SIEM對幫助企業識別潛在安全威脅和漏洞安全解決方案的需求不斷增加。尤其是后疫情時代，企業的網絡邊界越來越模糊，安全風險激增；要求SIEM的不斷完善與創新，自動收集和分析數據，簡化安全管理并盡早檢測企業相關違規行為，從而推動S

19、IEM不斷發展和演進。SIEM可以識別用戶、設備和應用程序的網絡活動，有效提高整個基礎設施的可見性并檢測威脅。根據Valuates的研究報告顯示：到2027年SIEM的全球市場規模預計將從2020年的39.4億美元增長至64.4億美元，其中持續監控和事件響應、合規要求以及日志管理等成為主要推動力量。企業安全運營行業發展特征THE FIRST PART安全運營產業發展歷史01010201SIEM打造安全工具階段 態勢感知的概念最早主要是由SIEM產品承載，定位于安全日志的統一收集、安全事件分析和審計。態勢感知覆蓋感知、理解和預測三個層次，隨著計算機網絡的發展又提出了“網絡態勢感知（Cybersp

20、ace Situation Awareness，CSA）”，即在大規模網絡環境中對引起網絡態勢發生變化的要素進行獲取、理解、展示以及對發展趨勢進行預測，從而幫助決策和行動。2016年以后，受益于國家戰略層面的重視，態勢感知進入蓬勃發展期。這其中攻防實戰需求和大數據技術能力成為態勢感知成功落地的底層驅動力：目前，態勢感知應用整體來看主要有兩個大類：一類是定位于合規需求，以滿足等保2.0和行業監管的要求。統一采集、分析和存儲安全日志，用于監控、審計、統計分析、態勢展示和指揮通報等。另一類是滿足業務發展的安全需求。側重于安全運營效果和效率的提升，如高級威脅發現，檢測、分析、響應、處置的一體化等。往往

21、需要采用多產品融合戰略，最大化降低集成的復雜度，以運營體系應對安全威脅。02態勢感知融合發展階段從需求角度看，單點防護和已知特征檢測等技術已經不能滿足復雜的安全形勢和實戰對抗需求，需要采取更多樣、深層次的綜合防御措施；新技術快速發展，海量數據存儲與分析可以以較低成本實現，這為態勢感知提供了大量技術支撐，大量態勢感知應用開始出現。一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART0304 隨著網絡安全復雜性的凸顯，態勢感知在網絡安全領域得到高度重視和廣泛應用。未來，態勢感知將跟隨客戶的要求和認知不斷變化，總的來看將重點在以下幾個方面發

22、力：隨著云計算的普及和數字化轉型席卷而來，網絡威脅呈指數型爆炸增長，威脅源、威脅類型、威脅事件加速迭代且相互交織利用，隱蔽性和針對性極強，對工具和事件間的聯動協作能力要求越來越高，集成多種安全產品和安全解決方案的現代化一體安全運營需求越來越強烈。需要進一步整合SIEM、SOAR、TIP、EDR、NDR以及云上安全解決方案等多種安全產品和解決方案，適應多種環境。為此，現代SOC開始應運而生，現代SOC有效整合多個產品或平臺間割裂的數據和響應能力，從預測、防御、檢測和響應四個維度構建一體化、智能化、專業化的全面威脅感知與響應體系，為客戶提供更優的威脅檢測效果和事件響應效率?，F代SOC包含以下四個特

23、征：03現代SOC創新發展階段企業傳統的業務體系和業務環境已經從封閉轉向開放，信息化需求不斷升級、網絡接入方式也更加多元，企業需要借助各種云平臺來快速實現業務在線交付，無論是企業內部應用私有云系統，還是業務拓展所需要的公有云系統，都很難避免存在未知的漏洞與安全威脅。因此需要提升企業對安全響應速度，提供一致性高效決策，同時注重與云計算、人工智能和編排能力的使用，給用戶提供端到端的安全可視性服務?，F代SOC作為云端和服務工具化能力更加受關注早期態勢感知基本是獨立運行，客戶之間的信息不關聯，云化可以讓用戶較為方便的獲取安全能力和信息，深度挖掘數據的價值。業務云化2022.12態勢感知體系龐大，功能多

24、樣，帶來便利的同時，各種安全探針如何合理配置并形成合力，成為大家關注的焦點，因此打造“開箱即用、簡單統一、方便使用”的一體化系統，成為未來態勢感知發展的關鍵。一體化當前網絡安全風險日益嚴重，尤其是對重大活動保障、攻防演練等場景，需要企業快速精準發現威脅，因此對態勢感知能力提出了滿足實戰化的需求，為此需要態勢感知能力能夠更廣泛的聚合安全能力，尤其是威脅情報能力。實戰化一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART0304 隨著網絡安全復雜性的凸顯，態勢感知在網絡安全領域得到高度重視和廣泛應用。未來，態勢感知將跟隨客戶的要求和認知不

25、斷變化，總的來看將重點在以下幾個方面發力：隨著云計算的普及和數字化轉型席卷而來，網絡威脅呈指數型爆炸增長，威脅源、威脅類型、威脅事件加速迭代且相互交織利用，隱蔽性和針對性極強，對工具和事件間的聯動協作能力要求越來越高，集成多種安全產品和安全解決方案的現代化一體安全運營需求越來越強烈。需要進一步整合SIEM、SOAR、TIP、EDR、NDR以及云上安全解決方案等多種安全產品和解決方案，適應多種環境。為此，現代SOC開始應運而生，現代SOC有效整合多個產品或平臺間割裂的數據和響應能力，從預測、防御、檢測和響應四個維度構建一體化、智能化、專業化的全面威脅感知與響應體系，為客戶提供更優的威脅檢測效果和

26、事件響應效率?，F代SOC包含以下四個特征：03現代SOC創新發展階段企業傳統的業務體系和業務環境已經從封閉轉向開放，信息化需求不斷升級、網絡接入方式也更加多元，企業需要借助各種云平臺來快速實現業務在線交付，無論是企業內部應用私有云系統，還是業務拓展所需要的公有云系統，都很難避免存在未知的漏洞與安全威脅。因此需要提升企業對安全響應速度，提供一致性高效決策，同時注重與云計算、人工智能和編排能力的使用，給用戶提供端到端的安全可視性服務?，F代SOC作為云端和服務工具化能力更加受關注早期態勢感知基本是獨立運行，客戶之間的信息不關聯，云化可以讓用戶較為方便的獲取安全能力和信息，深度挖掘數據的價值。業務云化

27、2022.12態勢感知體系龐大，功能多樣，帶來便利的同時，各種安全探針如何合理配置并形成合力，成為大家關注的焦點，因此打造“開箱即用、簡單統一、方便使用”的一體化系統，成為未來態勢感知發展的關鍵。一體化當前網絡安全風險日益嚴重，尤其是對重大活動保障、攻防演練等場景，需要企業快速精準發現威脅，因此對態勢感知能力提出了滿足實戰化的需求，為此需要態勢感知能力能夠更廣泛的聚合安全能力，尤其是威脅情報能力。實戰化一、企業安全運營行業發展特征THE FIRST PART05根據IBM統計，相比需要耗費100天以上才能識別出數據泄露事件的公司，在100天以內識別出數據泄露事件的公司可節省超過100萬美元的成

28、本。為此構建自動化、智能化安全系統和工具已經成為企業構建安全能力的當務之急，自動化工具擅長原因分析，可自動連接不同的潛在事件；人工智能技術能夠根據威脅及組織的特定情況統籌安排后續步驟，解決人力問題；此外，自動化和智能化手段可以推動一致且深入的調查，讓安全團隊能夠作出數據驅動型決策，實現工作流與補救流程的完全自動化。使用安全編排、自動化響應工具，將大大縮短分析和響應時間精準的檢測和正確的決策離不開有效的情報信息，威脅情報在現代SOC中具有重要作用，可以幫助云上用戶實現事前安全防御，事中事件監測與威脅檢測，事后響應處置的一站式、可視化、自動化的云上安全運營管理。在一個有集成能力、自動化能力和情報運

29、營化能力的現代平臺推動下，安全團隊可以到達威脅情報項目的新高度，包括評估檢測和響應效果的正反饋情況。同時，企業在對威脅情報的應用過程中，需要要考慮到威脅情報和自身的相關性、集成能力以及自動化能力等因素。威脅情報整合將成為現代SOC的重要組成部分一、企業安全運營行業發展特征THE FIRST PART現代SOC處在是一個復雜多變的環境中，需要使用數十種安全工具和解決方案以及需要應對不斷增長的攻擊面。為了應對這些挑戰并跟上快速發展的威脅形勢，現代SOC的領導者必須不斷努力提高SOC效率并保持團隊成員的參與，這其中不僅有安全團隊內部的配合，現代SOC團隊還需要與其他部門的團隊密切合作，包括業務、IT

30、、人力、合規、法律等團隊。團隊之間需要能夠共享威脅情報信息，保證足夠的溝通和積極傾聽，從而確保整個團隊在威脅運營期間構建成一個高效協作的團隊。不同部門之間的協同作用06一、企業安全運營行業發展特征THE FIRST PART05根據IBM統計，相比需要耗費100天以上才能識別出數據泄露事件的公司，在100天以內識別出數據泄露事件的公司可節省超過100萬美元的成本。為此構建自動化、智能化安全系統和工具已經成為企業構建安全能力的當務之急，自動化工具擅長原因分析，可自動連接不同的潛在事件；人工智能技術能夠根據威脅及組織的特定情況統籌安排后續步驟，解決人力問題；此外，自動化和智能化手段可以推動一致且深

31、入的調查，讓安全團隊能夠作出數據驅動型決策，實現工作流與補救流程的完全自動化。使用安全編排、自動化響應工具，將大大縮短分析和響應時間精準的檢測和正確的決策離不開有效的情報信息，威脅情報在現代SOC中具有重要作用，可以幫助云上用戶實現事前安全防御，事中事件監測與威脅檢測，事后響應處置的一站式、可視化、自動化的云上安全運營管理。在一個有集成能力、自動化能力和情報運營化能力的現代平臺推動下，安全團隊可以到達威脅情報項目的新高度，包括評估檢測和響應效果的正反饋情況。同時，企業在對威脅情報的應用過程中，需要要考慮到威脅情報和自身的相關性、集成能力以及自動化能力等因素。威脅情報整合將成為現代SOC的重要組

32、成部分一、企業安全運營行業發展特征THE FIRST PART現代SOC處在是一個復雜多變的環境中，需要使用數十種安全工具和解決方案以及需要應對不斷增長的攻擊面。為了應對這些挑戰并跟上快速發展的威脅形勢，現代SOC的領導者必須不斷努力提高SOC效率并保持團隊成員的參與，這其中不僅有安全團隊內部的配合，現代SOC團隊還需要與其他部門的團隊密切合作，包括業務、IT、人力、合規、法律等團隊。團隊之間需要能夠共享威脅情報信息，保證足夠的溝通和積極傾聽，從而確保整個團隊在威脅運營期間構建成一個高效協作的團隊。不同部門之間的協同作用06一、企業安全運營行業發展特征THE FIRST PART一、企業安全運

33、營行業發展特征THE FIRST PART 當前，我國安全運營產業發展迅速，安全合規與業務風險是推動安全運營產業發展的主要推動力。需要指出的是，滿足安全合規不僅僅是企業發展的“壓艙石”，也是企業健康經營的“安全閥”。同時，隨著國內監管部門組織的實戰攻防演練中，企業安全運營工作的價值得以進一步體現：演習前資產、漏洞、配置弱點、弱口令的梳理與加固，縮小攻擊暴露面。演習中實時監測威脅，及時發現攻擊行為;對攻擊事件進行溯源分析和應急處置，通過數據統計、可視化大屏展示等方式，掌握整體攻防演習態勢。演習后完成總結報告和優化改進。因此，多數企業在實戰攻防演練中，發現了安全運營中心作為支撐平臺的重要性，進一步

34、加快安全運營中心的建設。我國安全運營產業發展驅動因素02070801 合規驅動 隨著我國安全法律法規的進一步完善，尤其是 網絡安全法、數據安全法 和個人信息保護法 的正式頒布施行，如何使得業務發展更加安全合規，成為企業關注的焦點：最重要較為重要一般價值演習前資產、漏洞、配置弱點、弱口令的梳理與加固，縮小攻擊暴露面演習中實時監測威脅，及時發現攻擊行為演習中對攻擊事件進行溯源分析對攻擊事件進行應急處置演習中通過數據統計、可視化大屏展示等方式，掌握整體攻防演習態勢演習后總結報告和優化改進一方面數字時代企業加大對數據價值的挖掘和分析。例如大量企業通過數據進行用戶畫像分析、精準營銷。另一方面安全合規要求

35、對數據的使用要遵守相關法律法規，同時保護客戶數據隱私，更不能將核心數據隨意與第三方做共享。一方面，隨著企業壯大，安全風險對企業的打擊已經成為不能承受之重，不合規將成為企業的阿克琉斯之踵。對于企業而言，在安全風險來臨之時，有效的合規體系是抵御風險非常重要的一環，而企業構建合規體系正是以確定的合規管理應對不確定的外部環境。合規可使企業抵御潰塌式風險帶來的致命打擊，合規是企業永續經營的“壓艙石”。另一方面，合規風險尚未發生之時，通過對企業和員工的經營活動設置邊界，確保經營活動都在安全邊界之內，對違規風險、越界行為進行預測、防范，監督、改正違規和越界行為，并形成制度性的保證。一、企業安全運營行業發展特

36、征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART 當前，我國安全運營產業發展迅速，安全合規與業務風險是推動安全運營產業發展的主要推動力。需要指出的是，滿足安全合規不僅僅是企業發展的“壓艙石”，也是企業健康經營的“安全閥”。同時，隨著國內監管部門組織的實戰攻防演練中，企業安全運營工作的價值得以進一步體現：演習前資產、漏洞、配置弱點、弱口令的梳理與加固，縮小攻擊暴露面。演習中實時監測威脅，及時發現攻擊行為;對攻擊事件進行溯源分析和應急處置，通過數據統計、可視化大屏展示等方式，掌握整體攻防演習態勢。演習后完成總結報告和優化改進。因此，多數企業在實戰攻防演練中，發

37、現了安全運營中心作為支撐平臺的重要性，進一步加快安全運營中心的建設。我國安全運營產業發展驅動因素02070801 合規驅動 隨著我國安全法律法規的進一步完善，尤其是 網絡安全法、數據安全法 和個人信息保護法 的正式頒布施行，如何使得業務發展更加安全合規，成為企業關注的焦點：最重要較為重要一般價值演習前資產、漏洞、配置弱點、弱口令的梳理與加固，縮小攻擊暴露面演習中實時監測威脅，及時發現攻擊行為演習中對攻擊事件進行溯源分析對攻擊事件進行應急處置演習中通過數據統計、可視化大屏展示等方式，掌握整體攻防演習態勢演習后總結報告和優化改進一方面數字時代企業加大對數據價值的挖掘和分析。例如大量企業通過數據進行

38、用戶畫像分析、精準營銷。另一方面安全合規要求對數據的使用要遵守相關法律法規，同時保護客戶數據隱私，更不能將核心數據隨意與第三方做共享。一方面，隨著企業壯大，安全風險對企業的打擊已經成為不能承受之重，不合規將成為企業的阿克琉斯之踵。對于企業而言，在安全風險來臨之時，有效的合規體系是抵御風險非常重要的一環，而企業構建合規體系正是以確定的合規管理應對不確定的外部環境。合規可使企業抵御潰塌式風險帶來的致命打擊，合規是企業永續經營的“壓艙石”。另一方面，合規風險尚未發生之時，通過對企業和員工的經營活動設置邊界，確保經營活動都在安全邊界之內，對違規風險、越界行為進行預測、防范，監督、改正違規和越界行為，并

39、形成制度性的保證。一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART091002 業務風險驅動 當前，我國安全運營產業發展迅速，企業業務安全意識不斷增強。有研究數據顯示，有超過66%以上的企業對業務資產和漏洞的管理已有一定的認知，具備了一定的安全事件管理能力，同時已經意識到網絡安全不能僅靠前期的建設，而是需要不斷的運營。賽迪顧問對外發布 2020中國安全運營中心調研分析報告，從數據來看，已有79.5%的企業已經建立了專門的安全運營中心。并且以最近兩年新建的居多，占38.8%。此外，建立5年以上的也達26.6%，以央企、事業單位為主，

40、重點分布在金融、互聯網、能源等對安全運營重視程度較高的行業。調研單位安全運營中心運營時間5年以上26.6%19.9%20.5%19.4%21.9%19.4%數據來源：企業調研，賽迪顧問整理，2021.0911.9%9.0%10.4%5.0%4.0%31.8%無1年2年3年4年2020年2019年 與此同時，隨著業務不斷發展，新的安全風險不斷增加。對于安全團隊來說，為企業業務提供安全防護能力，助其有效管理和應對網絡攻擊及對業務帶來的潛在影響，已經成為安全運營團隊的當務之急。因此，需要驅動安全團隊構建快速、智能、系統的安全運營能力建設體系：在業務安全風險方面資產一旦受到攻擊，數據及業務運作都將受到

41、影響。因此，需要基于人工智能和專家系統，對大范圍業務相關數據進行安全分析，發現未知威脅。通過多維度進行數據關聯分析，發現潛在的安全問題。依托態勢感知能力，用戶可以及時了解網絡的狀態、受攻擊情況、攻擊來源以及哪些服務易受到攻擊等情況，并能夠及時采取防范措施?；诎踩髷祿默F代安全運營中心，提供全局的網絡安全視圖，使用戶能夠快速準確地把握全網當前的安全狀態，提前識別暴露的風險資產，降低受到攻擊的可能性及影響。從而掌握全網安全態勢趨勢，并能夠對異常事件進行預警，對于提高網絡應急響應能力，緩解網絡攻擊造成的危害，發現潛在的惡意入侵，具有重要的意義。通過智能檢測引擎，可以對多個環節的檢測結果綜合分析、

42、準確識別、響應預警，完成對網絡的全面安全防護、實現“精準防御、快速過濾、立體防護、智能聯動”。同時，定期對資產進行安全評估，為用戶的安全合規檢查和加固行為提供決策支撐。在安全應急響應方面在建立預警機制方面在增強安全防護方面通過云端賦能，形成“云網端”協同聯動的主動防御體系；基于知識庫進行實時場景自適應決策響應，快速生成應急響應預案，向全網關鍵設備推送安全策略，實現安全事件的預警、響應和處置，完成對威脅的閉環響應機制。從而有效降低受到攻擊的可能性，減少攻擊對業務帶來的影響。一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART091002

43、 業務風險驅動 當前，我國安全運營產業發展迅速，企業業務安全意識不斷增強。有研究數據顯示，有超過66%以上的企業對業務資產和漏洞的管理已有一定的認知，具備了一定的安全事件管理能力，同時已經意識到網絡安全不能僅靠前期的建設，而是需要不斷的運營。賽迪顧問對外發布 2020中國安全運營中心調研分析報告，從數據來看，已有79.5%的企業已經建立了專門的安全運營中心。并且以最近兩年新建的居多，占38.8%。此外，建立5年以上的也達26.6%，以央企、事業單位為主，重點分布在金融、互聯網、能源等對安全運營重視程度較高的行業。調研單位安全運營中心運營時間5年以上26.6%19.9%20.5%19.4%21.

44、9%19.4%數據來源：企業調研，賽迪顧問整理，2021.0911.9%9.0%10.4%5.0%4.0%31.8%無1年2年3年4年2020年2019年 與此同時，隨著業務不斷發展，新的安全風險不斷增加。對于安全團隊來說，為企業業務提供安全防護能力，助其有效管理和應對網絡攻擊及對業務帶來的潛在影響，已經成為安全運營團隊的當務之急。因此，需要驅動安全團隊構建快速、智能、系統的安全運營能力建設體系：在業務安全風險方面資產一旦受到攻擊，數據及業務運作都將受到影響。因此，需要基于人工智能和專家系統，對大范圍業務相關數據進行安全分析，發現未知威脅。通過多維度進行數據關聯分析，發現潛在的安全問題。依托態

45、勢感知能力，用戶可以及時了解網絡的狀態、受攻擊情況、攻擊來源以及哪些服務易受到攻擊等情況，并能夠及時采取防范措施?；诎踩髷祿默F代安全運營中心，提供全局的網絡安全視圖，使用戶能夠快速準確地把握全網當前的安全狀態，提前識別暴露的風險資產，降低受到攻擊的可能性及影響。從而掌握全網安全態勢趨勢，并能夠對異常事件進行預警，對于提高網絡應急響應能力，緩解網絡攻擊造成的危害，發現潛在的惡意入侵，具有重要的意義。通過智能檢測引擎，可以對多個環節的檢測結果綜合分析、準確識別、響應預警，完成對網絡的全面安全防護、實現“精準防御、快速過濾、立體防護、智能聯動”。同時，定期對資產進行安全評估，為用戶的安全合規檢

46、查和加固行為提供決策支撐。在安全應急響應方面在建立預警機制方面在增強安全防護方面通過云端賦能，形成“云網端”協同聯動的主動防御體系；基于知識庫進行實時場景自適應決策響應，快速生成應急響應預案，向全網關鍵設備推送安全策略，實現安全事件的預警、響應和處置，完成對威脅的閉環響應機制。從而有效降低受到攻擊的可能性，減少攻擊對業務帶來的影響。海外安全運營產業發展特點031.美國率先開展安全運營中心探索與部署 美國政府機構部署了全球最早的計算機網絡，安全運營中心也在這里誕生。早在上世紀90年代，美國率先開展了態勢感知系統的建設工作。1999年，Tim Bass提出了態勢感知的概念，并將該技術應用于多個網絡

47、入侵檢測系統。2012年美國啟動“X計劃”，構建一種實時、大規模的動態網絡環境，從中了解、規劃和管理網絡空間的活動。一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART11 為此，企業安全工作需要與公司戰略和業務目標保持一直，需要將其與組織戰略統一起來：一方面安全運營體系和企業業務目標相匹配，推動安全防護能力滿足業務發展需要。另一方面安全運營工作需要為業務伙伴做好行動規劃，以獲得業務需要的安全等級，確保工作高效進行。12美國率先開展安全運營中心探索與部署美國安全運營特征與演變其他國家SOC發展特點海外安全運營產業發展特點031.美國率

48、先開展安全運營中心探索與部署 美國政府機構部署了全球最早的計算機網絡，安全運營中心也在這里誕生。早在上世紀90年代，美國率先開展了態勢感知系統的建設工作。1999年，Tim Bass提出了態勢感知的概念，并將該技術應用于多個網絡入侵檢測系統。2012年美國啟動“X計劃”，構建一種實時、大規模的動態網絡環境，從中了解、規劃和管理網絡空間的活動。一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART11 為此，企業安全工作需要與公司戰略和業務目標保持一直，需要將其與組織戰略統一起來：一方面安全運營體系和企業業務目標相匹配，推動安全防護能力滿

49、足業務發展需要。另一方面安全運營工作需要為業務伙伴做好行動規劃，以獲得業務需要的安全等級，確保工作高效進行。12美國率先開展安全運營中心探索與部署美國安全運營特征與演變其他國家SOC發展特點一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART13142.美國安全運營特征與演變美國率先開展安全運營中心探索與部署20032007201020202014美國政府啟動愛因斯坦計劃，建設大規模信息安全監控系統，自動收集、關聯分析和共享政府機構間的安全信息，快速感知和應對網絡安全威脅，增強了美國政府對網絡空間態勢感知能力和網絡安全防御能力。美國支

50、付卡行業率先成立了PCI委員會，要求供應商遵守安全和數據保護標準。計算機事件響應小組正式制定了危機管理程序，并將重點放在早期發現能力上。同時，美國實施新的泄露告知法，企業和組織的安全項目開始增加，重大數據泄露開始向公眾披露。2003年2007年美國提出可信互聯網連接計劃，目標是將聯邦政府8000個網絡出口歸并為50個左右。出口整合后，便于進行安全設備統一部署，監控和防護也能做到一體化。隨著進展的深入，美國發現政府基層的辦事處很難覆蓋完全，又提出了可管理的可信互聯網協議服務?；鶎拥霓k事處可通過運營商提供的NBIP-VPN，連接到可信互聯網協議服務的網絡中，從而完成可信互聯網連接的目標。2010年

51、聯邦信息安全管理法，要求各機構的信息安全方案中必須包含信息系統的持續監測。這個計劃目標是將一個靜態安全控制評估和風險測定過程變換成一個可以提供必要的、實時的且反映相關安全狀態信息的動態系統。希望從以前只能通過手動審核的聯邦信息系統法規遵從性評估管理過程提升到系統化的接近實時的自動化過程，動態管理企業的風險。要求各機構持續監測其整個IT環境，修復漏洞或其它風險點，并根據聯邦數據調用要求出具報告。2014年美國NISTF發布CybersecurityFrame-work，安全運營可以拆解為5個版塊：識別（Identify）、保護（Protect）、檢測（Detect）、響應（Response）和恢

52、復（Recovery）。而安全運營的核心即解決問題，通過提出安全解決構想、驗證效果、分析問題、診斷問題、協調資源解決問題并持續迭代優化，推動整體安全目標的實現。2020年美國咨詢機構Ponemon發布針對SOC的調研結果顯示，大多數公司將SOC視為其網絡安全策略的關鍵要素，尤其是在最大程度減少誤報，以及報告威脅情報信息方面。73的人表示，SOC對他們的整體網絡安全策略至關重要（31）或非常重要（42）。77的人表示SOC分析師培訓“非常重要”。一、企業安全運營行業發展特征THE FIRST PART一、企業安全運營行業發展特征THE FIRST PART13142.美國安全運營特征與演變美國率

53、先開展安全運營中心探索與部署20032007201020202014美國政府啟動愛因斯坦計劃，建設大規模信息安全監控系統，自動收集、關聯分析和共享政府機構間的安全信息，快速感知和應對網絡安全威脅，增強了美國政府對網絡空間態勢感知能力和網絡安全防御能力。美國支付卡行業率先成立了PCI委員會，要求供應商遵守安全和數據保護標準。計算機事件響應小組正式制定了危機管理程序，并將重點放在早期發現能力上。同時，美國實施新的泄露告知法，企業和組織的安全項目開始增加，重大數據泄露開始向公眾披露。2003年2007年美國提出可信互聯網連接計劃，目標是將聯邦政府8000個網絡出口歸并為50個左右。出口整合后，便于進

54、行安全設備統一部署，監控和防護也能做到一體化。隨著進展的深入，美國發現政府基層的辦事處很難覆蓋完全，又提出了可管理的可信互聯網協議服務?；鶎拥霓k事處可通過運營商提供的NBIP-VPN，連接到可信互聯網協議服務的網絡中，從而完成可信互聯網連接的目標。2010年聯邦信息安全管理法，要求各機構的信息安全方案中必須包含信息系統的持續監測。這個計劃目標是將一個靜態安全控制評估和風險測定過程變換成一個可以提供必要的、實時的且反映相關安全狀態信息的動態系統。希望從以前只能通過手動審核的聯邦信息系統法規遵從性評估管理過程提升到系統化的接近實時的自動化過程，動態管理企業的風險。要求各機構持續監測其整個IT環境，

55、修復漏洞或其它風險點，并根據聯邦數據調用要求出具報告。2014年美國NISTF發布CybersecurityFrame-work，安全運營可以拆解為5個版塊：識別（Identify）、保護（Protect）、檢測（Detect）、響應（Response）和恢復（Recovery）。而安全運營的核心即解決問題，通過提出安全解決構想、驗證效果、分析問題、診斷問題、協調資源解決問題并持續迭代優化，推動整體安全目標的實現。2020年美國咨詢機構Ponemon發布針對SOC的調研結果顯示，大多數公司將SOC視為其網絡安全策略的關鍵要素，尤其是在最大程度減少誤報，以及報告威脅情報信息方面。73的人表示，S

56、OC對他們的整體網絡安全策略至關重要（31）或非常重要（42）。77的人表示SOC分析師培訓“非常重要”。16一、企業安全運營行業發展特征THE FIRST PART153.其他國家SOC發展特點歐盟為提升信息安全監控防御能力，啟動了MASSIF項目，由政府機構、科研院所和商業公司共同研發面向大型服務的新一代SIEM架構，通過智能化、可擴展、多層次、跨領域的大數據檢測分析，實現對安全事件的預警與處置。該SIEM架構強調自主可控性，采用以開源軟件為基礎進行集成整合的技術路線。日本政府2012年3月計劃在宮城縣建立全國第一家大規模的反黑客設施“防御系統安全中心”，以保護日本重要基礎設施和工業設施的

57、安全。該中心將參考美國國土安全部的系統經驗，對涉及日本國家安全的道路交通、航空、新干線等基礎設施和化學工廠等工業設施實施強有力的網絡防護，以阻止黑客集團攻擊。日本政府在2014年11月通過了 網絡安全基本法，并于次年1月建立了日本網絡安全戰略總部。日本方面歐盟方面16一、企業安全運營行業發展特征THE FIRST PART153.其他國家SOC發展特點歐盟為提升信息安全監控防御能力，啟動了MASSIF項目，由政府機構、科研院所和商業公司共同研發面向大型服務的新一代SIEM架構，通過智能化、可擴展、多層次、跨領域的大數據檢測分析，實現對安全事件的預警與處置。該SIEM架構強調自主可控性，采用以開

58、源軟件為基礎進行集成整合的技術路線。日本政府2012年3月計劃在宮城縣建立全國第一家大規模的反黑客設施“防御系統安全中心”，以保護日本重要基礎設施和工業設施的安全。該中心將參考美國國土安全部的系統經驗，對涉及日本國家安全的道路交通、航空、新干線等基礎設施和化學工廠等工業設施實施強有力的網絡防護，以阻止黑客集團攻擊。日本政府在2014年11月通過了 網絡安全基本法，并于次年1月建立了日本網絡安全戰略總部。日本方面歐盟方面二、企業安全運營面臨新形勢THE SECOND PART二、企業安全運營面臨新形勢THE SECOND PART1718 隨著數字經濟快速發展，網絡安全事件不斷發生，各類企業逐漸

59、意識到網絡安全的重要性和緊迫性，尤其是隨著新安全漏洞的層出不窮，攻防新技術快速發展和應用，攻擊手段越來越有針對性，給企業安全帶來較大挑戰，總的來看，當前企業安全運營主要面臨以下四個方面的挑戰：數字化轉型加速推動企業上云步伐，并多呈現云上、云下相結合的混合云形態。同時，基礎設施復雜度的提升，也讓安全的管理難度不斷加大，用戶對安全體系是否真正有效缺乏信心。尤其是疫情催生的遠程辦公、企業SaaS的興起，業務數字化轉型，給安全復雜性帶來更大的挑戰。云上業務的增加，開源軟件的流行，企業使用的大量軟件中存在漏洞，甚至安全設備自身也存在漏洞，讓攻擊者可以有機可乘。軟件供應鏈安全風險和不斷暴露的企業攻擊面，成

60、為攻擊者最主要的突破口。企業安全體系的理念和架構亟需快速迭代，以應對數字時代的新型攻擊。數字時代，數據成為企業重要資產，針對數據的攻擊方法層出不窮，APT攻擊、勒索攻擊、供應鏈攻擊呈現多樣化、高頻化、組織化等特點。網絡攻擊的發起方已經轉向專業的黑產組織，越來越多的基礎設施進入攻擊者的視野范圍內，尤其是物聯網、車聯網、工業互聯網等新業態的發展，進一步催生出新業務新場景新基礎設施的迭代升級，導致安全需求和企業核心業務直接關聯，安全工作面臨著攻擊者攻擊手法不斷創新和復雜度呈指數級增長的趨勢。企業安全運營面臨新形勢THESECOND PART數字化轉型重塑IT架構，導致攻擊面擴大01攻擊方法層出不窮，

61、安全挑戰指數級增加02產品能力割裂，體系化能力建設不足03安全人才短缺，運營效果難保障04 當前，企業對網絡安全與穩定需求快速增長，企業在安全防御體系上部署了較為完備的基礎安全產品，但仍以異構設備堆疊式建設為主，如部署不同廠商的漏掃、防火墻、WAF、IPS、EDR等。設備之間相互割裂，難以深度協同，存在信息孤島效應和防御孤島效應；安全防護設備的安全威脅發現手段，多以被動式的黑白名單、簽名和規則特征為主，難以將現有安全能力進行統籌，達成理想的安全防御效果。隨著業務圍繞云構建，安全和業務的關聯度在提升，現有安全能力的割裂狀態將面臨更大挑戰，難以應對攻擊的不確定性和對抗的復雜性。安全人才短缺與網絡安

62、全事件層出不窮的矛盾不斷加劇。一方面企業對于安全人才的需求日益增長，但人才短缺現象正在逐步擴大。另一方面安全團隊在成本與效益方面難以量化平衡，安全風險沒有暴露前無法客觀體現工作價值，導致企業在沒有合規壓力和安全事件驅動前，難以加大對安全團隊的投資力度。由于缺乏專業人員，以及先進技術平臺支撐，企業在安全運營體系建設過程中，流程制度的建立往往是“事件驅動”，這種被動“救火式”流程機制，往往混亂無序，事倍功半。沒有完善的流程制度、缺乏用于衡量安全運營工作有效性和時效性的指標，安全運營體系建設如同空中樓閣，最終安全運營效果難以保障。二、企業安全運營面臨新形勢THE SECOND PART二、企業安全運

63、營面臨新形勢THE SECOND PART1718 隨著數字經濟快速發展，網絡安全事件不斷發生，各類企業逐漸意識到網絡安全的重要性和緊迫性，尤其是隨著新安全漏洞的層出不窮，攻防新技術快速發展和應用，攻擊手段越來越有針對性，給企業安全帶來較大挑戰，總的來看，當前企業安全運營主要面臨以下四個方面的挑戰：數字化轉型加速推動企業上云步伐，并多呈現云上、云下相結合的混合云形態。同時，基礎設施復雜度的提升，也讓安全的管理難度不斷加大，用戶對安全體系是否真正有效缺乏信心。尤其是疫情催生的遠程辦公、企業SaaS的興起，業務數字化轉型，給安全復雜性帶來更大的挑戰。云上業務的增加，開源軟件的流行，企業使用的大量軟

64、件中存在漏洞，甚至安全設備自身也存在漏洞，讓攻擊者可以有機可乘。軟件供應鏈安全風險和不斷暴露的企業攻擊面，成為攻擊者最主要的突破口。企業安全體系的理念和架構亟需快速迭代，以應對數字時代的新型攻擊。數字時代，數據成為企業重要資產，針對數據的攻擊方法層出不窮，APT攻擊、勒索攻擊、供應鏈攻擊呈現多樣化、高頻化、組織化等特點。網絡攻擊的發起方已經轉向專業的黑產組織，越來越多的基礎設施進入攻擊者的視野范圍內，尤其是物聯網、車聯網、工業互聯網等新業態的發展，進一步催生出新業務新場景新基礎設施的迭代升級，導致安全需求和企業核心業務直接關聯，安全工作面臨著攻擊者攻擊手法不斷創新和復雜度呈指數級增長的趨勢。企

65、業安全運營面臨新形勢THESECOND PART數字化轉型重塑IT架構，導致攻擊面擴大01攻擊方法層出不窮，安全挑戰指數級增加02產品能力割裂，體系化能力建設不足03安全人才短缺，運營效果難保障04 當前，企業對網絡安全與穩定需求快速增長，企業在安全防御體系上部署了較為完備的基礎安全產品，但仍以異構設備堆疊式建設為主，如部署不同廠商的漏掃、防火墻、WAF、IPS、EDR等。設備之間相互割裂，難以深度協同，存在信息孤島效應和防御孤島效應；安全防護設備的安全威脅發現手段，多以被動式的黑白名單、簽名和規則特征為主，難以將現有安全能力進行統籌，達成理想的安全防御效果。隨著業務圍繞云構建，安全和業務的關

66、聯度在提升，現有安全能力的割裂狀態將面臨更大挑戰，難以應對攻擊的不確定性和對抗的復雜性。安全人才短缺與網絡安全事件層出不窮的矛盾不斷加劇。一方面企業對于安全人才的需求日益增長，但人才短缺現象正在逐步擴大。另一方面安全團隊在成本與效益方面難以量化平衡，安全風險沒有暴露前無法客觀體現工作價值，導致企業在沒有合規壓力和安全事件驅動前，難以加大對安全團隊的投資力度。由于缺乏專業人員，以及先進技術平臺支撐，企業在安全運營體系建設過程中，流程制度的建立往往是“事件驅動”，這種被動“救火式”流程機制，往往混亂無序，事倍功半。沒有完善的流程制度、缺乏用于衡量安全運營工作有效性和時效性的指標，安全運營體系建設如

67、同空中樓閣，最終安全運營效果難以保障?！癝OC+安全運營體系”構建安全防護新理念THE THIRD PART“SOC+”三大進階理念01 面對安全運營出現的新特征新挑戰，傳統的安全運營中心（Security Operations Center，以下簡稱“SOC”）難以全面應對，尤其是網絡安全事件頻發、各類攻擊方法以及工具的不斷創新，給企業安全帶來較大安全挑戰。為此，需要在傳統SOC能力的基礎上，加快技術創新和能力提升，從產業鏈與生態全局的角度制定安全策略、提升安全能力，從而適應新的安全挑戰和攻擊，為企業提供持續、穩定的安全服務?！癝OC+安全運營體系”是騰訊安全面向產業數字化轉型推出的新理念，

68、強調以威脅情報運營和攻防對抗為基礎，驅動客戶安全運營整體能力朝“實戰化”、“體系化”、“平臺化”不斷升級和演進。騰訊SOC+安全運營體系中的“+”有三層含義：三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART 騰訊安全依托威脅情報云將騰訊20多年攻防實戰經驗、業內頂尖安全實驗室的安全能力、海量安全大數據和AI技術，持續賦能并完善騰訊SOC+安全運營體系。具體來看，騰訊威脅情報云將不斷提升安全防護水平、豐富情報數據源并形成多維度能力矩陣，通過預測、防御、檢測和響應打造安全生命周期的能力閉環。同時，威

69、脅情報云融合人工智能技術助力安全防御，打造安全大數據的智能化管理和分析能力，構建高級威脅感知和處置的自動化平臺，推動SaaS化部署和訂閱服務等，實現網絡安全智能化，從而增強安全檢測和響應能力，構建“防得住”的安全運營體系。1.威脅情報云打造安全生命周期“閉環能力”在產品集成度上逐步完善，如威脅情報中心、SOC、NDR、MDR等產品和服務連接的能力，持續開展業務和產品側的協同。通過威脅情報云給產品賦能，構建攻擊面管理(事前)、情報賦能檢測（事中）、情報支撐響應（事后）協同連接，打破安全能力碎片化、割裂化的問題，重新連接融合安全能力矩陣，降低對人工的依賴，解決安全運營流程中人人、人機協同的問題，從

70、而對網絡攻擊進行立體分析、綜合研判，推動實現更加高效安全響應。2.連接效能提升實現安全能力“集群效應”在安全能力上將更加注重對生態伙伴的開放與合作，充分發揮渠道伙伴和能力伙伴的價值，以開放平臺為核心，提供高質量的情報數據，幫助生態伙伴提升發現失陷資產以及威脅事件的能力，提高威脅檢測與響應效率，有效控制威脅事件的危害范圍。同時，開放平臺的打造將構建產業鏈共贏“朋友圈”，在降低復雜度、減少管理開支的基礎上，實現企業間的協作共振與價值提升。例如威脅情報云的開放平臺，方便企業的運營人員對威脅情報進行查詢，為威脅事件的響應處置提供高精準檢測能力和輔助分析決策能力，實現全產業鏈安全運營價值共享?？偟膩砜?，

71、將為企業打造一款成熟、有體系、現代化的平臺，建立起技術、人員、流程一體化的安全運營體系，全面提升安全防護能力和安全運營效率。3.開放平臺打造安全共贏“朋友圈”“閉環能力”“集群效應”“朋友圈”1920“SOC+安全運營體系”構建安全防護新理念THE THIRD PART“SOC+”三大進階理念01 面對安全運營出現的新特征新挑戰，傳統的安全運營中心（Security Operations Center，以下簡稱“SOC”）難以全面應對，尤其是網絡安全事件頻發、各類攻擊方法以及工具的不斷創新，給企業安全帶來較大安全挑戰。為此，需要在傳統SOC能力的基礎上，加快技術創新和能力提升，從產業鏈與生態全

72、局的角度制定安全策略、提升安全能力，從而適應新的安全挑戰和攻擊，為企業提供持續、穩定的安全服務?！癝OC+安全運營體系”是騰訊安全面向產業數字化轉型推出的新理念，強調以威脅情報運營和攻防對抗為基礎，驅動客戶安全運營整體能力朝“實戰化”、“體系化”、“平臺化”不斷升級和演進。騰訊SOC+安全運營體系中的“+”有三層含義：三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART 騰訊安全依托威脅情報云將騰訊20多年攻防實戰經驗、業內頂尖安全實驗室的安全能力、海量安全大數據和AI技術，持續賦能并完善騰訊SOC

73、+安全運營體系。具體來看，騰訊威脅情報云將不斷提升安全防護水平、豐富情報數據源并形成多維度能力矩陣，通過預測、防御、檢測和響應打造安全生命周期的能力閉環。同時，威脅情報云融合人工智能技術助力安全防御，打造安全大數據的智能化管理和分析能力，構建高級威脅感知和處置的自動化平臺，推動SaaS化部署和訂閱服務等，實現網絡安全智能化，從而增強安全檢測和響應能力，構建“防得住”的安全運營體系。1.威脅情報云打造安全生命周期“閉環能力”在產品集成度上逐步完善，如威脅情報中心、SOC、NDR、MDR等產品和服務連接的能力，持續開展業務和產品側的協同。通過威脅情報云給產品賦能，構建攻擊面管理(事前)、情報賦能檢

74、測（事中）、情報支撐響應（事后）協同連接，打破安全能力碎片化、割裂化的問題，重新連接融合安全能力矩陣，降低對人工的依賴，解決安全運營流程中人人、人機協同的問題，從而對網絡攻擊進行立體分析、綜合研判，推動實現更加高效安全響應。2.連接效能提升實現安全能力“集群效應”在安全能力上將更加注重對生態伙伴的開放與合作，充分發揮渠道伙伴和能力伙伴的價值，以開放平臺為核心，提供高質量的情報數據，幫助生態伙伴提升發現失陷資產以及威脅事件的能力，提高威脅檢測與響應效率，有效控制威脅事件的危害范圍。同時，開放平臺的打造將構建產業鏈共贏“朋友圈”，在降低復雜度、減少管理開支的基礎上，實現企業間的協作共振與價值提升。

75、例如威脅情報云的開放平臺，方便企業的運營人員對威脅情報進行查詢，為威脅事件的響應處置提供高精準檢測能力和輔助分析決策能力，實現全產業鏈安全運營價值共享?？偟膩砜?，將為企業打造一款成熟、有體系、現代化的平臺，建立起技術、人員、流程一體化的安全運營體系，全面提升安全防護能力和安全運營效率。3.開放平臺打造安全共贏“朋友圈”“閉環能力”“集群效應”“朋友圈”1920SOC+安全運營體系“架構進階”02 騰訊“SOC+安全運營體系”支持更多企業從“安全建設”向“安全運營”轉變，由“滿足合規要求”導向“提升安全能力”，從被動式防御過渡到“原生式”主動安全建設，最終邁進具備成熟、智能、可持續的安全“進階優

76、化”階段，不斷提升高階安全防護、安全運營能力。隨著數字經濟演進，數字資產成為企業運營發展的核心，安全建設趨勢發生三大變化：一是安全的主體，從過去以個人為主，到現在以產業為主。二是安全的形態，從過去的合規管理導向，到現在的實戰對抗；三是安全管理方式，從單一化運營到一體化運營的安全運營機制；四是安全的思維，從過去的被動防御，到從戰略視角規劃積極動態防御。騰訊安全將二十余年積累的能力與技術提煉出來，構建出情報、攻防、管理、規劃一體的IDEA模型，幫助企業降低安全建設門檻，提供系統化的安全服務。尤其是圍繞企業核心業務資產，騰訊安全構建情報、攻防、管理和規劃四大能力：在情報方面，打造威脅情報系統，智能感

77、知安全威脅。在攻防方面，構建全時全域攻防能力對抗全新安全挑戰。在管理方面，建立全面協同的安全運營管理體系。在規劃方面，從企業經營的戰略視角開展主動的安全規劃。定位于產業數字化轉型構建最新安全防護體系，騰訊通過多年積累的威脅情報云，打造可對外復用的動態安全模型，為企業客戶提供模塊式、可迭代的安全服務。從安全運營角度來看，企業安全運營體系能力建設需要以情報和攻防為基礎，推動安全管理和規劃的全面落地實施。為此，騰訊“SOC+安全運營體系”區別過去煙囪式的安全建設方式，充分融合情報、攻防、管理與規劃四大能力矩陣，通過原子力（Atomic Force）、產品力（Product Force）和生態力（Ec

78、ological Force）打造全新的安全運營體系與架構，從安全形態、安全價值、安全思維等戰略視角，更全面的審視安全問題，有效解決制約SOC建設過程中的諸多瓶頸問題。圖1 SOC+安全運營體系示意圖SOC+安全運營體系原子力產品力生態力生態化服務集成化效率提升能力進階在技術上新能力的引入和升級，如安全大數據的智能化管理和分析、高級威脅感知和處置的自動化，平臺SaaS化的部署和服務發揮渠道伙伴和能力伙伴的價值，在全產業鏈構建安全運營能力在產品集成上的逐步完善，推動服務持續豐富和深度協同，從而更加高效實現安全快速響應原子力Atomic Force產品力Product Force生態力Ecolog

79、ical Force2122三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PARTSOC+安全運營體系“架構進階”02 騰訊“SOC+安全運營體系”支持更多企業從“安全建設”向“安全運營”轉變，由“滿足合規要求”導向“提升安全能力”，從被動式防御過渡到“原生式”主動安全建設，最終邁進具備成熟、智能、可持續的安全“進階優化”階段，不斷提升高階安全防護、安全運營能力。隨著數字經濟演進，數字資產成為企業運營發展的核心，安全建設趨勢發生三大變化：一是安全的主體，從過去以個人為主，到現在以產業為主。二是安全的形

80、態，從過去的合規管理導向，到現在的實戰對抗；三是安全管理方式，從單一化運營到一體化運營的安全運營機制；四是安全的思維，從過去的被動防御，到從戰略視角規劃積極動態防御。騰訊安全將二十余年積累的能力與技術提煉出來，構建出情報、攻防、管理、規劃一體的IDEA模型，幫助企業降低安全建設門檻，提供系統化的安全服務。尤其是圍繞企業核心業務資產，騰訊安全構建情報、攻防、管理和規劃四大能力：在情報方面，打造威脅情報系統，智能感知安全威脅。在攻防方面，構建全時全域攻防能力對抗全新安全挑戰。在管理方面，建立全面協同的安全運營管理體系。在規劃方面，從企業經營的戰略視角開展主動的安全規劃。定位于產業數字化轉型構建最新

81、安全防護體系，騰訊通過多年積累的威脅情報云，打造可對外復用的動態安全模型，為企業客戶提供模塊式、可迭代的安全服務。從安全運營角度來看，企業安全運營體系能力建設需要以情報和攻防為基礎，推動安全管理和規劃的全面落地實施。為此，騰訊“SOC+安全運營體系”區別過去煙囪式的安全建設方式，充分融合情報、攻防、管理與規劃四大能力矩陣，通過原子力（Atomic Force）、產品力（Product Force）和生態力（Ecological Force）打造全新的安全運營體系與架構，從安全形態、安全價值、安全思維等戰略視角，更全面的審視安全問題，有效解決制約SOC建設過程中的諸多瓶頸問題。圖1 SOC+安全

82、運營體系示意圖SOC+安全運營體系原子力產品力生態力生態化服務集成化效率提升能力進階在技術上新能力的引入和升級，如安全大數據的智能化管理和分析、高級威脅感知和處置的自動化，平臺SaaS化的部署和服務發揮渠道伙伴和能力伙伴的價值，在全產業鏈構建安全運營能力在產品集成上的逐步完善，推動服務持續豐富和深度協同，從而更加高效實現安全快速響應原子力Atomic Force產品力Product Force生態力Ecological Force2122三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART06232

83、4三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART1.原子力（Atomic Force）構筑：“情報、攻防”兩大基礎底座2.產品力（Product Force）打造“核心-基礎-抓手-載體”產品理念 為了更好與生態企業協同，騰訊在構建SOC+安全運營體系的同時，與國內十余家安全上市企業及數十家安全服務廠商建立了合作體系，在行業內形成了“生態資源共享、能力互補、生態共建”全新合作機制，推動伙伴攜手為企業客戶提供更全面可靠的安全解決方案及服務。原子力是騰訊SOC+安全運營體系基礎能力引擎，包含豐富的

84、威脅情報和堅實的攻防對抗能力。在威脅情報方面，對于企業安全運營者而言，掌握全面、準確的威脅信息有利于縮短威脅發現時間，提高響應速度，使企業防御體系得到大幅提升。缺少威脅情報，安全就大打折扣。因此基于海量、多元的安全數據打造情報數據平臺，形成威脅情報體系，能夠讓企業在威脅預測、感知、響應上占領先機。安全的本質就是攻防，在攻防對抗方面，只有掌握先進技術和人才，才能有效對抗攻擊入侵。攻擊者會不斷尋找企業安全防護的弱點，防守方也需要不斷研究攻擊者的攻擊手法，探索應對攻擊的方法，提升安全防護能力和效率。此外，攻防博弈還促進人工智能等新技術在安全領域得到應用創新，產生新的安全防護模式和新的安全產品，并在安

85、全實踐中不斷得到檢驗和精進。產品力是騰訊SOC+安全運營體系關鍵所在，騰訊SOC+安全運營體系的產品力主要由四個核心模塊組成，分別是TIX威脅情報中心、SOC安全運營平臺、NDR網絡威脅檢測與響應、MDR安全運營服務。具體來看：圖2 騰訊SOC+安全運營全景圖原子力產品力生態力安全運營平臺結合自身多年攻防對抗經驗和安全實驗室頂尖技術，驅動客戶安全運營整體能力朝“實戰化”不斷升級和演進推進安全能力“被集成”，鏈接生態資源及能力，保證服務韌性在產品集成上的逐步完善，加強產品和服務的深度協同并支持單產品精準應用或柔性的擴展組合應用SOC+安全運營全景威脅情報攻防對抗渠道伙伴能力伙伴網絡威脅檢測與響應

86、御界高級威脅檢測系統天幕安全治理平臺天幕威脅情報網關態勢感知安全運營自動化內部威脅與違規安全運營服務云監測服務攻擊面梳理服務威脅檢測與響應服務威脅情報中心攻擊面管理云端威脅情報中心本地威脅情報中心威脅情報查詢在威脅情報方面在攻防對抗方面TIX威脅情報中心是“核心”依托于威脅情報云，TIX威脅情報中心能夠提供第一手威脅情報，一站式情報服務，最大化發揮情報在整個企業組織安全運營體系下的價值。SOC安全運營平臺是“基礎”集成安全專家與AI能力，能夠提高安全運營自動化效率，對安全事件進行自動化調查和響應。同時挖掘內部威脅，充分利用高價值數據，實現全方位態勢感知能力。062324三、“SOC+安全運營體

87、系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART1.原子力（Atomic Force）構筑：“情報、攻防”兩大基礎底座2.產品力（Product Force）打造“核心-基礎-抓手-載體”產品理念 為了更好與生態企業協同，騰訊在構建SOC+安全運營體系的同時，與國內十余家安全上市企業及數十家安全服務廠商建立了合作體系，在行業內形成了“生態資源共享、能力互補、生態共建”全新合作機制，推動伙伴攜手為企業客戶提供更全面可靠的安全解決方案及服務。原子力是騰訊SOC+安全運營體系基礎能力引擎，包含豐富的威脅情報和堅實的攻防對抗能

88、力。在威脅情報方面，對于企業安全運營者而言，掌握全面、準確的威脅信息有利于縮短威脅發現時間，提高響應速度，使企業防御體系得到大幅提升。缺少威脅情報，安全就大打折扣。因此基于海量、多元的安全數據打造情報數據平臺，形成威脅情報體系，能夠讓企業在威脅預測、感知、響應上占領先機。安全的本質就是攻防，在攻防對抗方面，只有掌握先進技術和人才，才能有效對抗攻擊入侵。攻擊者會不斷尋找企業安全防護的弱點，防守方也需要不斷研究攻擊者的攻擊手法，探索應對攻擊的方法，提升安全防護能力和效率。此外，攻防博弈還促進人工智能等新技術在安全領域得到應用創新，產生新的安全防護模式和新的安全產品，并在安全實踐中不斷得到檢驗和精進

89、。產品力是騰訊SOC+安全運營體系關鍵所在，騰訊SOC+安全運營體系的產品力主要由四個核心模塊組成，分別是TIX威脅情報中心、SOC安全運營平臺、NDR網絡威脅檢測與響應、MDR安全運營服務。具體來看：圖2 騰訊SOC+安全運營全景圖原子力產品力生態力安全運營平臺結合自身多年攻防對抗經驗和安全實驗室頂尖技術，驅動客戶安全運營整體能力朝“實戰化”不斷升級和演進推進安全能力“被集成”，鏈接生態資源及能力，保證服務韌性在產品集成上的逐步完善，加強產品和服務的深度協同并支持單產品精準應用或柔性的擴展組合應用SOC+安全運營全景威脅情報攻防對抗渠道伙伴能力伙伴網絡威脅檢測與響應御界高級威脅檢測系統天幕安

90、全治理平臺天幕威脅情報網關態勢感知安全運營自動化內部威脅與違規安全運營服務云監測服務攻擊面梳理服務威脅檢測與響應服務威脅情報中心攻擊面管理云端威脅情報中心本地威脅情報中心威脅情報查詢在威脅情報方面在攻防對抗方面TIX威脅情報中心是“核心”依托于威脅情報云，TIX威脅情報中心能夠提供第一手威脅情報，一站式情報服務，最大化發揮情報在整個企業組織安全運營體系下的價值。SOC安全運營平臺是“基礎”集成安全專家與AI能力，能夠提高安全運營自動化效率，對安全事件進行自動化調查和響應。同時挖掘內部威脅，充分利用高價值數據，實現全方位態勢感知能力。3.生態力（Ecological Force）實現“共享-互補

91、-共建”安全協同機制 生態力是騰訊SOC+安全運營體系持續發展的重要補給，騰訊SOC+安全運營體系的生態力主要包括渠道伙伴和能力伙伴。數字經濟時代，安全需要融入更多企業、機構和個人，每個安全主體對應不同的安全責任。各方都是安全生態構建的參與者，政府、企業、第三方機構需要在戰略規劃、技術創新、生態建設發力，不僅需要共享彼此的威脅情報、提升攻防能力，還需要進一步加強行業資源的有效配置，形成良性生態和通暢渠道，通過將資產、風險事件、情報等大數據進行融合分析并關聯化呈現，幫助用戶提升安全管理效率，讓安全能力“被集成”實現生態共贏，從而更好的為企業提供“有韌性”的服務。通過原子力構建的基礎能力引擎，奠定

92、安全運營的最小戰斗單元；基于原子力引擎打造出具有獨特優勢的四大能力模塊，構建騰訊SOC+的產品力矩陣，從而為用戶提供有別于傳統SOC的進階能力和持續安全保障；同時從產業鏈視角實現了渠道生態和能力生態的搭建，最終形成生態力，為全行業安全運營貢獻力量。NDR網絡威脅檢測與響應是重要“抓手”緩解網絡層安全問題，御界高級威脅檢測系統和天幕安全治理平臺，實時發現流量中的惡意攻擊和潛在威脅，進行分析、溯源和阻斷。實現網絡層“檢測與響應”智能化閉環。MDR安全運營服務是關鍵“載體”通過SaaS化服務實現云端賦能，提供云監測、攻擊面梳理、威脅檢測與響應等服務，整合產品/服務/人員，構建完善的安全服務支撐體系，

93、從而實現安全價值最大化。2526三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART3.生態力（Ecological Force）實現“共享-互補-共建”安全協同機制 生態力是騰訊SOC+安全運營體系持續發展的重要補給，騰訊SOC+安全運營體系的生態力主要包括渠道伙伴和能力伙伴。數字經濟時代，安全需要融入更多企業、機構和個人，每個安全主體對應不同的安全責任。各方都是安全生態構建的參與者，政府、企業、第三方機構需要在戰略規劃、技術創新、生態建設發力，不僅需要共享彼此的威脅情報、提升攻防能力，還需要進一

94、步加強行業資源的有效配置，形成良性生態和通暢渠道，通過將資產、風險事件、情報等大數據進行融合分析并關聯化呈現，幫助用戶提升安全管理效率，讓安全能力“被集成”實現生態共贏，從而更好的為企業提供“有韌性”的服務。通過原子力構建的基礎能力引擎，奠定安全運營的最小戰斗單元；基于原子力引擎打造出具有獨特優勢的四大能力模塊，構建騰訊SOC+的產品力矩陣，從而為用戶提供有別于傳統SOC的進階能力和持續安全保障；同時從產業鏈視角實現了渠道生態和能力生態的搭建，最終形成生態力，為全行業安全運營貢獻力量。NDR網絡威脅檢測與響應是重要“抓手”緩解網絡層安全問題，御界高級威脅檢測系統和天幕安全治理平臺，實時發現流量

95、中的惡意攻擊和潛在威脅，進行分析、溯源和阻斷。實現網絡層“檢測與響應”智能化閉環。MDR安全運營服務是關鍵“載體”通過SaaS化服務實現云端賦能，提供云監測、攻擊面梳理、威脅檢測與響應等服務，整合產品/服務/人員，構建完善的安全服務支撐體系，從而實現安全價值最大化。2526三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART 騰訊SOC+安全運營體系具備較強的實時性、精準性、完整性，并處于行業領先地位。同時云端迭代能力可以更好的保證騰訊SOC+安全運營體系的持續性。具體來看，騰訊產品力優勢具體表現在

96、以下四個方面：具有豐富的情報數據能力、高級威脅精準檢測、強大的資產暴露面測繪、重大安全事件快速響應能力等四方面的優勢。通過強大的情報采集能力矩陣，提供一站式情報查詢工具，實現云網端安全協同能力建設，多維度的威脅情報數據查詢及分析，可幫助安全人員對威脅事件進行研判和優先級排序，最終打造出豐富的情報應用形態。騰訊SOC+安全運營體系優勢03 騰訊SOC+安全運營體系，可以針對企業安全成熟度進行可量化、可視化、標準化的評估。從而適應企業數字化轉型需要，實現海量安全大數據處理能力。同時，領先的云端能力，可以將云端訓練成果快速的下發給到用戶側，并發揮實際效果，提升用戶的體驗感。通過安全事件自動調查、響應

97、和處置大幅提升威脅運營效率，實現企業全網安全態勢可知、可見、可控的閉環。騰訊MDR以標準化服務包的形式提供各類服務內容，依托強大的安全工具、云端能力和廣泛覆蓋的服務人員等措施支持服務落地，協助企業運營人員及時發現安全風險并調整防御措施，全面持續的對安全事件進行監控、威脅檢測并協助企業做威脅處置。讓客戶能明確感知服務價值和成果。騰訊NDR具備全流量威脅檢測分析與響應阻斷，實現開箱即用的八大安全專題場景，能夠實時更新安全能力來應對各種攻擊手法和漏洞；針對新型攻擊手段，騰訊NDR具有領先的未知威脅檢測能力對抗繞過類攻擊和0day等；具備快速的漏洞和威脅情報更新，提升響應速度；支持IPv4、IPv6的

98、高效旁路阻斷；輕松應對海量流量威脅檢測與響應，適應一體機、多機集群、級聯、多云混合云等多種部署方式。MDR構建標準化生態服務多技術融合提升NDR能力威脅情報云打造一站式TIX威脅情報中心智能化平臺化SOC能力2728三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART 騰訊SOC+安全運營體系具備較強的實時性、精準性、完整性，并處于行業領先地位。同時云端迭代能力可以更好的保證騰訊SOC+安全運營體系的持續性。具體來看，騰訊產品力優勢具體表現在以下四個方面：具有豐富的情報數據能力、高級威脅精準檢測、強

99、大的資產暴露面測繪、重大安全事件快速響應能力等四方面的優勢。通過強大的情報采集能力矩陣，提供一站式情報查詢工具，實現云網端安全協同能力建設，多維度的威脅情報數據查詢及分析，可幫助安全人員對威脅事件進行研判和優先級排序，最終打造出豐富的情報應用形態。騰訊SOC+安全運營體系優勢03 騰訊SOC+安全運營體系，可以針對企業安全成熟度進行可量化、可視化、標準化的評估。從而適應企業數字化轉型需要，實現海量安全大數據處理能力。同時，領先的云端能力，可以將云端訓練成果快速的下發給到用戶側，并發揮實際效果，提升用戶的體驗感。通過安全事件自動調查、響應和處置大幅提升威脅運營效率，實現企業全網安全態勢可知、可見

100、、可控的閉環。騰訊MDR以標準化服務包的形式提供各類服務內容，依托強大的安全工具、云端能力和廣泛覆蓋的服務人員等措施支持服務落地，協助企業運營人員及時發現安全風險并調整防御措施，全面持續的對安全事件進行監控、威脅檢測并協助企業做威脅處置。讓客戶能明確感知服務價值和成果。騰訊NDR具備全流量威脅檢測分析與響應阻斷，實現開箱即用的八大安全專題場景，能夠實時更新安全能力來應對各種攻擊手法和漏洞；針對新型攻擊手段，騰訊NDR具有領先的未知威脅檢測能力對抗繞過類攻擊和0day等；具備快速的漏洞和威脅情報更新，提升響應速度；支持IPv4、IPv6的高效旁路阻斷；輕松應對海量流量威脅檢測與響應，適應一體機、

101、多機集群、級聯、多云混合云等多種部署方式。MDR構建標準化生態服務多技術融合提升NDR能力威脅情報云打造一站式TIX威脅情報中心智能化平臺化SOC能力2728三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART三、“SOC+安全運營體系”構建安全防護新理念THE THIRD PART為了更好地應對當前企業安全運營面臨的新形勢，威脅情報應具備以下能力：后疫情時代，云計算、人工智能、5G等技術融合發展趨勢明顯，數字化轉型將成為企業在數字經濟時代發展的重要路徑。同時，企業安全面臨新的挑戰更加嚴峻：越來越多的云上資產成為攻擊者的主要攻擊目標，傳統的安全運營模式難以為繼，企業需要在

102、數字原生時代構建新的安全運營模式，支撐企業建立現代化安全運營體系，全面提升安全防護能力和安全運營效率。威脅情報是一種基于證據的知識，包括了情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險，并可以用于通知主體針對相關威脅或危險采取某種響應。威脅情報能夠貫穿預測、防御、檢測和響應整個安全生命周期的能力閉環，可以通過威脅情報云向產品進行賦能，實現“云網端”立體的安全能力協同。如：賦能生態產品，提供實時、精準的的威脅信息，增強檢測能力（如新型的病毒、勒索攻擊、挖礦木馬等）。提供豐富的威脅情報信息，支撐客戶進行事件調查、溯源分析和響應處置。TIX威脅情報中

103、心構建彈性協同安全體系01SOC+安全運營體系四大進階價值THE FOURTH PART提供從基礎情報到業務情報的延伸，覆蓋安全的全場景。如：解決用戶側電信詐騙、薅羊毛、資產信息泄露等實際業務場景問題。情報的商業化價值豐富的情報數據源覆蓋C端、B端、云端、互聯網開放數據等多個維度的情報數據矩陣。強大的威脅情報云采用云端的大數據、安全智能、算法算力平臺等多種高新技術進行情報自動化生產，保障輸出情報的高精準度、豐富度和實時性。情報云端安全能力協同事前（攻擊面情報測繪），事中（情報賦能檢測）、事后（情報支撐響應）。情報應用多樣化以SaaS為核心，SDK、API、TIP、情報社區、小程序為輔助等多種形

104、態進行情報能力的實戰化應用。四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART2930為了更好地應對當前企業安全運營面臨的新形勢，威脅情報應具備以下能力：后疫情時代，云計算、人工智能、5G等技術融合發展趨勢明顯，數字化轉型將成為企業在數字經濟時代發展的重要路徑。同時，企業安全面臨新的挑戰更加嚴峻：越來越多的云上資產成為攻擊者的主要攻擊目標，傳統的安全運營模式難以為繼，企業需要在數字原生時代構建新的安全運營模式，支撐企業建立現代化安全運營體系，全面提升安全防護能力和安全運營效率。威脅情報是一種基于證據的知識，包括了

105、情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險，并可以用于通知主體針對相關威脅或危險采取某種響應。威脅情報能夠貫穿預測、防御、檢測和響應整個安全生命周期的能力閉環，可以通過威脅情報云向產品進行賦能，實現“云網端”立體的安全能力協同。如：賦能生態產品，提供實時、精準的的威脅信息，增強檢測能力（如新型的病毒、勒索攻擊、挖礦木馬等）。提供豐富的威脅情報信息，支撐客戶進行事件調查、溯源分析和響應處置。TIX威脅情報中心構建彈性協同安全體系01SOC+安全運營體系四大進階價值THE FOURTH PART提供從基礎情報到業務情報的延伸，覆蓋安全的全場景。

106、如：解決用戶側電信詐騙、薅羊毛、資產信息泄露等實際業務場景問題。情報的商業化價值豐富的情報數據源覆蓋C端、B端、云端、互聯網開放數據等多個維度的情報數據矩陣。強大的威脅情報云采用云端的大數據、安全智能、算法算力平臺等多種高新技術進行情報自動化生產，保障輸出情報的高精準度、豐富度和實時性。情報云端安全能力協同事前（攻擊面情報測繪），事中（情報賦能檢測）、事后（情報支撐響應）。情報應用多樣化以SaaS為核心，SDK、API、TIP、情報社區、小程序為輔助等多種形態進行情報能力的實戰化應用。四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE

107、FOURTH PART2930 威脅情報中心（TIX）是一款集成基礎情報、攻擊面情報、業務情報三大情報能力的開放平臺，依托于威脅情報云，提供第一手威脅情報，一站式情報服務。支持多種交付方式滿足不同客戶需求，重?；蛉粘０踩雷o期間，威脅情報中心可以提供情報的查詢、IOC的研判分析、攻擊面管理等能力，協助客戶更高效的對安全事件進行分析研判和更全面的評估企業資產暴露面的風險情況，同時也支持與其他安全產品結合，提升客戶側整體安全解決方案的檢測與響應能力。強大的情報采集能力矩陣 覆蓋C端、B端、云端、互聯網開放數據等多個維度的數據采集，采集數據量級超200萬臺云主機安全數據；騰訊電腦管家、騰訊手機管家等

108、市場份額超過40%的C端產品的惡意樣本數據，每日采集原始安全數據3萬億條，數據采集的全面性和豐富度行業領先。業界領先的威脅情報云 威脅情報云集成了國內頂尖安全實驗室提供前沿情報生產技術，超20年安全經驗的安全專家團隊進行持續化運營；應用超10億終端的安全規則和算法，實時提供最新的戰術型情報（TTPs）、技術型情報（含IP、域名、MD5等）、業務情報（黑灰產、仿冒、漏洞情報）等，自產情報數量占比95%以上，高精準IOCs情報準確率達到99.99%，充分聯動云端算法算力，秒級去除誤報；提供豐富的威脅情報標簽和上下文信息。除了情報外，威脅情報云依賴騰訊云算法算力平臺，對海量云端安全大數據進行持續挖掘

109、，并不斷迭代優化，構建全景安全攻防框架和MITRE ATT&CK知識庫，如安全防護策略、威脅檢測規則、安全算法模型、威脅狩獵模版、自動調查引擎、回溯取證系統、響應處置劇本等。然后通云網端協同，將以上安全能力賦能給安全產品，能夠在線升級和協同進化，以應對當前和未來的威脅。圖3 威脅情報產品和能力概覽圖四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART3132威脅情報產品和能力概覽用戶資產資產測繪漏洞掃描漏洞監測互聯網暴露面信息泄漏劫持業務仿冒黑灰產資產維度的情報能力，覆蓋資產與網絡測繪、漏洞掃描與監測、暴露面監測監

110、控互聯網與暗網中的黑灰產與攻擊行為，為用戶提供相關的信息泄漏、劫持與業務仿冒等風險的情報例如：外圍雷達監測，判斷博物館中藏品是否流通黑市，是否有仿冒品出現研判分析業務情報 安全事件專題推送威脅情報產品和能力概覽基礎情報 機讀情報 查詢社區覆蓋、域名、等信息的查詢與威脅研判（支持查詢多種方式進行能力輸出）例如：博物館的安檢 門禁系統，檢查進出的物品 人員的安全性攻擊面情報資產暴露面測繪基礎情報攻擊面情報業務情報、威脅情報中心（TIX）是一款集成基礎情報、攻擊面情報、業務情報三大情報能力的開放平臺，依托于威脅情報云，提供第一手威脅情報，一站式情報服務。支持多種交付方式滿足不同客戶需求，重?；蛉粘０?/p>

111、全防護期間，威脅情報中心可以提供情報的查詢、IOC的研判分析、攻擊面管理等能力，協助客戶更高效的對安全事件進行分析研判和更全面的評估企業資產暴露面的風險情況，同時也支持與其他安全產品結合，提升客戶側整體安全解決方案的檢測與響應能力。強大的情報采集能力矩陣 覆蓋C端、B端、云端、互聯網開放數據等多個維度的數據采集，采集數據量級超200萬臺云主機安全數據；騰訊電腦管家、騰訊手機管家等市場份額超過40%的C端產品的惡意樣本數據，每日采集原始安全數據3萬億條，數據采集的全面性和豐富度行業領先。業界領先的威脅情報云 威脅情報云集成了國內頂尖安全實驗室提供前沿情報生產技術，超20年安全經驗的安全專家團隊進

112、行持續化運營；應用超10億終端的安全規則和算法，實時提供最新的戰術型情報（TTPs）、技術型情報（含IP、域名、MD5等）、業務情報（黑灰產、仿冒、漏洞情報）等，自產情報數量占比95%以上，高精準IOCs情報準確率達到99.99%，充分聯動云端算法算力，秒級去除誤報；提供豐富的威脅情報標簽和上下文信息。除了情報外，威脅情報云依賴騰訊云算法算力平臺，對海量云端安全大數據進行持續挖掘，并不斷迭代優化，構建全景安全攻防框架和MITRE ATT&CK知識庫，如安全防護策略、威脅檢測規則、安全算法模型、威脅狩獵模版、自動調查引擎、回溯取證系統、響應處置劇本等。然后通云網端協同，將以上安全能力賦能給安全產

113、品，能夠在線升級和協同進化，以應對當前和未來的威脅。圖3 威脅情報產品和能力概覽圖四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART3132威脅情報產品和能力概覽用戶資產資產測繪漏洞掃描漏洞監測互聯網暴露面信息泄漏劫持業務仿冒黑灰產資產維度的情報能力，覆蓋資產與網絡測繪、漏洞掃描與監測、暴露面監測監控互聯網與暗網中的黑灰產與攻擊行為，為用戶提供相關的信息泄漏、劫持與業務仿冒等風險的情報例如：外圍雷達監測，判斷博物館中藏品是否流通黑市，是否有仿冒品出現研判分析業務情報 安全事件專題推送威脅情報產品和能力概覽基礎情報

114、 機讀情報 查詢社區覆蓋、域名、等信息的查詢與威脅研判（支持查詢多種方式進行能力輸出）例如：博物館的安檢 門禁系統，檢查進出的物品 人員的安全性攻擊面情報資產暴露面測繪基礎情報攻擊面情報業務情報、應用場景：情報能夠為客戶不同的應用場景和業務目標，提供強大的情報數據支撐和安全能力賦能。包括：獨特的“威脅情報”云端安全協同能力 以騰訊云為載體，以云上算法算力、大數據、AI能力為底座，聯合云上數百安全運營專家，基于威脅情報和重大安全事件全天候響應分析，實現對產品的賦能，并且能通過安全產品反哺云端情報能力建設，協助企業運營人員快速研判和處置重大安全事件。豐富的情報應用形態 為滿足不同的用戶需求，TIX

115、威脅情報中心支持以SaaS化為核心，提供WEB端、小程序、公眾號、API、SDK、TIP等多種交付方式。通過被集成方式實現云端情報數據在用戶本地下沉，支持與用戶現有安全防護產品進行聯動以提高檢測響應能力。同時也支持對接SOC等安全數據平臺，通過被集成方式進行高性能檢測查詢，提升企業整體安全運營和威脅響應效率，夯實客戶安全能力，實現情報最佳實踐。辦公網/生產網失陷檢測場景：以SaaS形態，面向客戶提供一站式情報查詢工具，多維度的威脅情報數據查詢與分析可幫助安全人員對威脅事件（如：新型的病毒、惡意軟件、勒索攻擊、挖礦木馬等）進行確認和優先級排序，同時智能的可視化關聯分析可對線索進行深度挖掘，提供如

116、攻擊團伙、APT跟蹤等信息，實現安全左移。賦能生態場景 通過SDK/API等方式將云端情報賦能生態伙伴，幫助生態伙伴的安全產品提升發現失陷資產及安全威脅的能力，有效控制安全威脅的危害范圍，提高威脅檢測與響應效率。自建威脅情報中心場景 幫助客戶在內網/專網/隔離網場景環境下，構建一套情報管理和情報應用的本地專業化威脅情報系統，賦能給本地的WAF/防火墻/SOC等安全產品，提高整體安全事件檢測和處置的時效性和精準性。事前風險預防場景 對于業務資產眾多的企業用戶，將資產、風險事件、情報等大數據進行融合分析并關聯化呈現，幫助用戶提升安全管理效率。通過主動情報發現和測繪技術，對互聯網暴露資產進行持續風險

117、測繪，以SaaS平臺結合專業人工運營的模式，提供7*24攻擊面管理、漏洞情報、黑客組織情報服務。四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART3334強大的情報采集能力矩陣業界領先的威脅情報云獨特的“威脅情報”云端安全協同能力豐富的情報應用形態應用場景：情報能夠為客戶不同的應用場景和業務目標，提供強大的情報數據支撐和安全能力賦能。包括：獨特的“威脅情報”云端安全協同能力 以騰訊云為載體，以云上算法算力、大數據、AI能力為底座，聯合云上數百安全運營專家，基于威脅情報和重大安全事件全天候響應分析，實現對產品的賦能

118、，并且能通過安全產品反哺云端情報能力建設，協助企業運營人員快速研判和處置重大安全事件。豐富的情報應用形態 為滿足不同的用戶需求，TIX威脅情報中心支持以SaaS化為核心，提供WEB端、小程序、公眾號、API、SDK、TIP等多種交付方式。通過被集成方式實現云端情報數據在用戶本地下沉，支持與用戶現有安全防護產品進行聯動以提高檢測響應能力。同時也支持對接SOC等安全數據平臺，通過被集成方式進行高性能檢測查詢，提升企業整體安全運營和威脅響應效率，夯實客戶安全能力，實現情報最佳實踐。辦公網/生產網失陷檢測場景：以SaaS形態，面向客戶提供一站式情報查詢工具，多維度的威脅情報數據查詢與分析可幫助安全人員

119、對威脅事件（如：新型的病毒、惡意軟件、勒索攻擊、挖礦木馬等）進行確認和優先級排序，同時智能的可視化關聯分析可對線索進行深度挖掘，提供如攻擊團伙、APT跟蹤等信息，實現安全左移。賦能生態場景 通過SDK/API等方式將云端情報賦能生態伙伴，幫助生態伙伴的安全產品提升發現失陷資產及安全威脅的能力，有效控制安全威脅的危害范圍，提高威脅檢測與響應效率。自建威脅情報中心場景 幫助客戶在內網/專網/隔離網場景環境下，構建一套情報管理和情報應用的本地專業化威脅情報系統，賦能給本地的WAF/防火墻/SOC等安全產品，提高整體安全事件檢測和處置的時效性和精準性。事前風險預防場景 對于業務資產眾多的企業用戶，將資

120、產、風險事件、情報等大數據進行融合分析并關聯化呈現，幫助用戶提升安全管理效率。通過主動情報發現和測繪技術，對互聯網暴露資產進行持續風險測繪，以SaaS平臺結合專業人工運營的模式，提供7*24攻擊面管理、漏洞情報、黑客組織情報服務。四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART3334強大的情報采集能力矩陣業界領先的威脅情報云獨特的“威脅情報”云端安全協同能力豐富的情報應用形態為了更好地應對當前企業安全運營面臨的新形勢，現代SOC應具備以下能力：SOC采用集中管理方式，統一管理企業內安全產品，收集企業和組織中所

121、有IT資產產生的安全信息，進行統一的實時監控、審計分析、調查取證，以預測、預防、檢測、評估和響應安全威脅與事件。SOC產品目標是支撐客戶在多云混合云架構下，日常運營和攻防對抗場景下，統一的安全管理、威脅檢測、大數據分析、調查取證、和響應處置。滿足Gartner對現代SOC定義。SOC安全運營平臺是騰訊安全面向政府以及金融、制造業、醫療、教育等大型企事業單位推出的多云混合云場景下的統一安全運營平臺。平臺聚焦TDIR，為用戶提供數據遙測、安全檢測、威脅狩獵、調查分析、聯動響應、安全可視等威脅閉環運營能力。如下圖所示SOC功能架構：SOC聚焦威脅檢測與事件響應02適應數字化轉型需要能夠覆蓋多云、混合

122、云場景，還能以SaaS化、服務化的形式交付。聚焦威脅運營安全運營的重點是威脅運營，SOC需要首先具備的核心能力為TDIR（Threat Detect,Investigate and Respond威脅檢測、調查和響應），并覆蓋內部威脅場景。海量安全大數據處理能力需要支持海量數據遙測、檢測、分析、調查取證。具備權威的安全的評價體系可直觀快速的評估企業威脅檢測能力覆蓋度，遭受的攻擊手法和攻擊階段。集成安全專家經驗和AI能力實現威脅自動化調查和響應，提升安全運營效率。適應數字化轉型需要聚焦威脅運營海量安全大數據處理能力具備權威的安全的評價體系集成安全專家經驗和AI能力圖4 騰訊SOC功能架構圖騰訊S

123、OC功能架構圖云原生多租戶角色運營租戶權限靈活定義適配多級組織架構多環境云環境辦公網信創檢測響應關聯引擎威脅調查分析可視化展示效果種自定義視圖選擇自定義儀表盤組裝安全運營服務安全攻防經驗積累云上安全運營經驗安全運營服務預測響應研判響應威脅狩獵自動化響應劇本自動溯源、攔截、響應自動響應（）人工響應數據關聯情報分析行為軌跡長時基線內部威脅（）外部威脅（關聯 情報）風險量化管理脆弱性管理情報跟蹤預測攻擊面收斂攔截、加固知識矩陣防御檢測網絡云安全運營中心Syslog/Kafka/持續監測與運營終端云第三方數據調查與響應威脅檢測數據遙測四、SOC+安全運營體系四大進階價值THE FOURTH PART四

124、、SOC+安全運營體系四大進階價值THE FOURTH PART3536為了更好地應對當前企業安全運營面臨的新形勢，現代SOC應具備以下能力：SOC采用集中管理方式，統一管理企業內安全產品，收集企業和組織中所有IT資產產生的安全信息，進行統一的實時監控、審計分析、調查取證，以預測、預防、檢測、評估和響應安全威脅與事件。SOC產品目標是支撐客戶在多云混合云架構下，日常運營和攻防對抗場景下，統一的安全管理、威脅檢測、大數據分析、調查取證、和響應處置。滿足Gartner對現代SOC定義。SOC安全運營平臺是騰訊安全面向政府以及金融、制造業、醫療、教育等大型企事業單位推出的多云混合云場景下的統一安全運

125、營平臺。平臺聚焦TDIR，為用戶提供數據遙測、安全檢測、威脅狩獵、調查分析、聯動響應、安全可視等威脅閉環運營能力。如下圖所示SOC功能架構：SOC聚焦威脅檢測與事件響應02適應數字化轉型需要能夠覆蓋多云、混合云場景，還能以SaaS化、服務化的形式交付。聚焦威脅運營安全運營的重點是威脅運營，SOC需要首先具備的核心能力為TDIR（Threat Detect,Investigate and Respond威脅檢測、調查和響應），并覆蓋內部威脅場景。海量安全大數據處理能力需要支持海量數據遙測、檢測、分析、調查取證。具備權威的安全的評價體系可直觀快速的評估企業威脅檢測能力覆蓋度，遭受的攻擊手法和攻擊階

126、段。集成安全專家經驗和AI能力實現威脅自動化調查和響應，提升安全運營效率。適應數字化轉型需要聚焦威脅運營海量安全大數據處理能力具備權威的安全的評價體系集成安全專家經驗和AI能力圖4 騰訊SOC功能架構圖騰訊SOC功能架構圖云原生多租戶角色運營租戶權限靈活定義適配多級組織架構多環境云環境辦公網信創檢測響應關聯引擎威脅調查分析可視化展示效果種自定義視圖選擇自定義儀表盤組裝安全運營服務安全攻防經驗積累云上安全運營經驗安全運營服務預測響應研判響應威脅狩獵自動化響應劇本自動溯源、攔截、響應自動響應（）人工響應數據關聯情報分析行為軌跡長時基線內部威脅（）外部威脅（關聯 情報）風險量化管理脆弱性管理情報跟蹤

127、預測攻擊面收斂攔截、加固知識矩陣防御檢測網絡云安全運營中心Syslog/Kafka/持續監測與運營終端云第三方數據調查與響應威脅檢測數據遙測四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART3536海量大數據分析和處理能力 除了ES和HDFS大數據存儲技術外，SOC平臺還提供第二代大數據技術云數據倉庫 ClickHouse，云對象存儲COS。實現海量告警、日志、流量數據和事件模型的熱/溫/冷數據分離，支持180天以上數據存儲和分析。并對安全數據進行分類和分級，在成本和收益間達到理想的平衡。完備的安全評價體系ATT

128、&CK SOC以MITRE ATT&CK技戰術框架為指導，全面升級安全檢測體系，實現ATT&CK企業矩陣的全面覆蓋。以ATT&CK框架評價安全指標，支持ATT&CK能力可視化。全面而直接地展示當前企業防護能力全局和面臨的威脅全景。另外SOC提供威脅狩獵Threat hunting，從“被動檢測”走向“主動發現”，幫助企業主動發現IT環境中未被防護體系檢測到的安全威脅?；贑lickHouse數據湖，以ATT&CK框架指導，通過類SQL對資產、漏洞、日志、告警、事件進行長周期多維數據關聯分析。平臺預置數百個威脅狩獵模版，覆蓋日常運營和攻防對抗場景。集成專家經驗+AI實現自動調查和響應 為了從根源

129、上解決“告警疲勞”這一業內難題，SOC將威脅情報云上安全專家在事件分析、調查、取證、溯源的能力和經驗形成知識庫，推出自動調查功能。通過自動調查生成安全事件（Incident），基于資產、時間線、ATT&CK技戰術進行關聯，自動還原攻擊過程中，采用的戰術、技術、過程、相關的上下文以及造成的影響，以時間線（Timeline）的方式呈現。并給出安全事件的嚴重級別、描述和處置建議。將每天十萬甚至百萬級安全告警降到安全告警-安全事件”的安全數據處理流程。安全數據湖支持海量原始事件/日志的存儲、分析和快速查詢。關聯引擎、UEBA和自定義AI平臺支持1000+規則對原始事件/日志進行分析，生成安全告警。通過

130、安全事件自動調查、響應和處置大幅提升威脅運營效率，實現企業全網安全態勢可知、可見、可控的閉環。圖5 TDIR示意圖TDIR示意圖安全事件安全告警事件 日志威脅檢測分析 自動調查評測檢測能力評測遙測能力評估標準安全設備告警日志資產漏洞應用日志關鍵系統。流量日志主機日志數據源采集歸一化億 天天天評估標準建設機制：安全專家經驗自動調查威脅情報攻擊者技戰術TDIR四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART3738海量大數據分析和處理能力 除了ES和HDFS大數據存儲技術外，SOC平臺還提供第二代大數據技術云數據倉

131、庫 ClickHouse，云對象存儲COS。實現海量告警、日志、流量數據和事件模型的熱/溫/冷數據分離，支持180天以上數據存儲和分析。并對安全數據進行分類和分級，在成本和收益間達到理想的平衡。完備的安全評價體系ATT&CK SOC以MITRE ATT&CK技戰術框架為指導，全面升級安全檢測體系，實現ATT&CK企業矩陣的全面覆蓋。以ATT&CK框架評價安全指標，支持ATT&CK能力可視化。全面而直接地展示當前企業防護能力全局和面臨的威脅全景。另外SOC提供威脅狩獵Threat hunting，從“被動檢測”走向“主動發現”，幫助企業主動發現IT環境中未被防護體系檢測到的安全威脅?；贑lic

132、kHouse數據湖，以ATT&CK框架指導，通過類SQL對資產、漏洞、日志、告警、事件進行長周期多維數據關聯分析。平臺預置數百個威脅狩獵模版，覆蓋日常運營和攻防對抗場景。集成專家經驗+AI實現自動調查和響應 為了從根源上解決“告警疲勞”這一業內難題，SOC將威脅情報云上安全專家在事件分析、調查、取證、溯源的能力和經驗形成知識庫，推出自動調查功能。通過自動調查生成安全事件（Incident），基于資產、時間線、ATT&CK技戰術進行關聯，自動還原攻擊過程中，采用的戰術、技術、過程、相關的上下文以及造成的影響，以時間線（Timeline）的方式呈現。并給出安全事件的嚴重級別、描述和處置建議。將每天

133、十萬甚至百萬級安全告警降到安全告警-安全事件”的安全數據處理流程。安全數據湖支持海量原始事件/日志的存儲、分析和快速查詢。關聯引擎、UEBA和自定義AI平臺支持1000+規則對原始事件/日志進行分析，生成安全告警。通過安全事件自動調查、響應和處置大幅提升威脅運營效率，實現企業全網安全態勢可知、可見、可控的閉環。圖5 TDIR示意圖TDIR示意圖安全事件安全告警事件 日志威脅檢測分析 自動調查評測檢測能力評測遙測能力評估標準安全設備告警日志資產漏洞應用日志關鍵系統。流量日志主機日志數據源采集歸一化億 天天天評估標準建設機制：安全專家經驗自動調查威脅情報攻擊者技戰術TDIR四、SOC+安全運營體系

134、四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART3738應用場景：SOC能夠為客戶不同的應用場景和業務目標，提供強大的平臺支撐和安全能力賦能。包括：為了更好地應對當前企業安全運營面臨的新形勢，NDR應具備以下能力：基于云端情報、算法、專家知識庫迭代更新，提升安全能力，應對層出不窮的攻擊手法和漏洞。實現云上、云下、IDC數據中心的安全統一運營，并與企業中的安全設備和業務系統對接，實現多云混合云環境下多級平臺的統一安全運營。統一管理企業內安全產品，收集所有IT資產產生的安全信息，進行預測、防御、檢測和響應，支撐日常運營。并滿足等保2.0關

135、于安全管理、日志審計等合規需求。產品聚焦威脅運營，為安全運營團隊提供立體的安全態勢感知、精準的威脅檢測、高效的調查和響應能力。通過UEBA和自定義AI平臺，解決內部威脅問題，包括遠程辦公、內網滲透、內部破壞、內部違規、數據收集和數據泄露6大主題，實現內部風險早發現，早治理。大型多分支集團單位或行業主管單位安全監管場景，上級單位需要對下屬單位的安全情況統一安全檢測和指揮調度，實現多級聯動、情報共享的一體化運營。NDR以實戰驅動，智能化部署網絡安全防護體系03 業界通常將網絡威脅檢測與響應系統稱為NDR（Network Detection and Response），從原始流量中發現網絡威脅及異常

136、，對網絡威脅進行分析和溯源，并提供取證和響應手段。覆蓋互聯網側（南北向流量）及內網側（東西向）的流量。01實時更新安全能力具備規則檢測及行為檢測手段，如行為分析、流量深度分析、機器學習、情報、沙箱等。02高級持續性威脅、未知威脅發現能力提供自動的威脅響應方法，多種響應手段。03實現網絡層自動化響應閉環基于攻擊鏈還原安全事件，方便安全運營人員分析溯源；同時提供全流量日志存儲服務，方便取證。04支持事件歸并、分析、取證覆蓋南北向、東西向流量，能夠發現內網橫移滲透行為。05支持互聯網側及內網側的流量威脅檢測支持云上、本地化、混合云場景部署。06覆蓋混合云等多種場景如API安全、郵件安全、賬號安全、敏

137、感數據泄露等。07幫助發現業務相關的安全風險多云/混合云/多租戶統一安全運營日常運營、等保合規場景實戰攻防、安全態勢感知內部威脅與違規大型集團、組織多級平臺級聯監管四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART3940應用場景：SOC能夠為客戶不同的應用場景和業務目標，提供強大的平臺支撐和安全能力賦能。包括：為了更好地應對當前企業安全運營面臨的新形勢，NDR應具備以下能力：基于云端情報、算法、專家知識庫迭代更新，提升安全能力，應對層出不窮的攻擊手法和漏洞。實現云上、云下、IDC數據中心的安全統一運營，并與企業

138、中的安全設備和業務系統對接，實現多云混合云環境下多級平臺的統一安全運營。統一管理企業內安全產品，收集所有IT資產產生的安全信息，進行預測、防御、檢測和響應，支撐日常運營。并滿足等保2.0關于安全管理、日志審計等合規需求。產品聚焦威脅運營，為安全運營團隊提供立體的安全態勢感知、精準的威脅檢測、高效的調查和響應能力。通過UEBA和自定義AI平臺，解決內部威脅問題，包括遠程辦公、內網滲透、內部破壞、內部違規、數據收集和數據泄露6大主題，實現內部風險早發現，早治理。大型多分支集團單位或行業主管單位安全監管場景，上級單位需要對下屬單位的安全情況統一安全檢測和指揮調度，實現多級聯動、情報共享的一體化運營。

139、NDR以實戰驅動，智能化部署網絡安全防護體系03 業界通常將網絡威脅檢測與響應系統稱為NDR（Network Detection and Response），從原始流量中發現網絡威脅及異常，對網絡威脅進行分析和溯源，并提供取證和響應手段。覆蓋互聯網側（南北向流量）及內網側（東西向）的流量。01實時更新安全能力具備規則檢測及行為檢測手段，如行為分析、流量深度分析、機器學習、情報、沙箱等。02高級持續性威脅、未知威脅發現能力提供自動的威脅響應方法，多種響應手段。03實現網絡層自動化響應閉環基于攻擊鏈還原安全事件，方便安全運營人員分析溯源；同時提供全流量日志存儲服務，方便取證。04支持事件歸并、分析

140、、取證覆蓋南北向、東西向流量，能夠發現內網橫移滲透行為。05支持互聯網側及內網側的流量威脅檢測支持云上、本地化、混合云場景部署。06覆蓋混合云等多種場景如API安全、郵件安全、賬號安全、敏感數據泄露等。07幫助發現業務相關的安全風險多云/混合云/多租戶統一安全運營日常運營、等保合規場景實戰攻防、安全態勢感知內部威脅與違規大型集團、組織多級平臺級聯監管四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART3940 騰訊NDR網絡威脅檢測與響應由NDR御界高級威脅檢測系統和NDR天幕安全治理平臺兩款產品組成，是騰訊自研的

141、高級威脅檢測（APT檢測）、分析、溯源和響應一體化解決方案。通過專家規則、TAV引擎、哈勃沙箱、威脅情報、AI算法和騰訊天幕旁路阻斷等技術，實時發現流量中的惡意攻擊和潛在威脅，進行全流量分析、溯源和阻斷。云端協同的全流量威脅檢測與響應 依托強大云端威脅情報能力和騰訊安全專家知識庫，快速響應最新漏洞和事件。覆蓋攻擊鏈全階段，集成專家規則、TAV引擎、哈勃沙箱、威脅情報、AI算法和騰訊天幕旁路阻斷等技術，發現流量中的攻擊行為和異常行為，提供全面精準的威脅檢測、豐富的溯源信息，快速定位威脅和失陷資產。提供多種響應手段，閉環處置攻擊事件。海量流量威脅自動化響應閉環 底層安全算力算法強力支撐，高效應對海

142、量數據復雜場景。單機支持最高10G/s流量，集群支持最多40G/s流量。在IPv4和IPv6阻斷場景最高可達99.99%阻斷率。采用非侵入式的旁路部署，不影響企業原有網絡架構。提供開放的阻斷API，可接入第三方檢測產品，形成響應閉環中心。大數據分析和取證能力 基于攻擊鏈還原安全事件，將海量安全告警歸并成事件，提供詳細的關鍵和關聯信息，結合威脅情報豐富上下文信息，形成攻擊者畫像，方便調查人員研判分析，定位溯源攻擊。支持對4層流量日志和7層Payload信息存儲，方便調查取證。圖7 提升NDR與威脅情報聯動效果圖6 騰訊NDR網絡威脅檢測與響應產品結構圖提升NDR與威脅情報聯動效果網絡威脅檢測與響

143、應威脅情報域名 文件信譽情報攻擊者畫像 溯源分析查詢漏洞 業務情報通報預警情報推送情報 重保專項情報失陷威脅檢測，阻斷風險情報推送產品與威脅情報聯合應用提升威脅感知感知攻擊暴露面高級威脅行為及時報警全網信息收集精準定位失陷行為及時響應阻斷提升與威脅情報聯動效果騰訊NDR網絡威脅檢測與響應產品結構圖流量探針交換機深度檢測調查取證響應安全安全惡意軟件分析垃圾郵件過濾釣魚郵件檢測收件人畫像發件人畫像惡意文件分析信譽分析資產關聯分析流量阻斷數據泄露風險發現資產安全評估安全場景產品結構哈勃沙盒天幕旁路阻斷引擎機器學習威脅檢測全包存儲全流量分析關聯分析深度分析處置第三方設備威脅情報攻擊者 受害者畫像規則引

144、擎惡意附件檢測四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART4142 騰訊NDR網絡威脅檢測與響應由NDR御界高級威脅檢測系統和NDR天幕安全治理平臺兩款產品組成，是騰訊自研的高級威脅檢測（APT檢測）、分析、溯源和響應一體化解決方案。通過專家規則、TAV引擎、哈勃沙箱、威脅情報、AI算法和騰訊天幕旁路阻斷等技術，實時發現流量中的惡意攻擊和潛在威脅，進行全流量分析、溯源和阻斷。云端協同的全流量威脅檢測與響應 依托強大云端威脅情報能力和騰訊安全專家知識庫，快速響應最新漏洞和事件。覆蓋攻擊鏈全階段，集成專家規則、

145、TAV引擎、哈勃沙箱、威脅情報、AI算法和騰訊天幕旁路阻斷等技術，發現流量中的攻擊行為和異常行為，提供全面精準的威脅檢測、豐富的溯源信息，快速定位威脅和失陷資產。提供多種響應手段，閉環處置攻擊事件。海量流量威脅自動化響應閉環 底層安全算力算法強力支撐，高效應對海量數據復雜場景。單機支持最高10G/s流量，集群支持最多40G/s流量。在IPv4和IPv6阻斷場景最高可達99.99%阻斷率。采用非侵入式的旁路部署，不影響企業原有網絡架構。提供開放的阻斷API，可接入第三方檢測產品，形成響應閉環中心。大數據分析和取證能力 基于攻擊鏈還原安全事件，將海量安全告警歸并成事件，提供詳細的關鍵和關聯信息，結

146、合威脅情報豐富上下文信息，形成攻擊者畫像，方便調查人員研判分析，定位溯源攻擊。支持對4層流量日志和7層Payload信息存儲，方便調查取證。圖7 提升NDR與威脅情報聯動效果圖6 騰訊NDR網絡威脅檢測與響應產品結構圖提升NDR與威脅情報聯動效果網絡威脅檢測與響應威脅情報域名 文件信譽情報攻擊者畫像 溯源分析查詢漏洞 業務情報通報預警情報推送情報 重保專項情報失陷威脅檢測，阻斷風險情報推送產品與威脅情報聯合應用提升威脅感知感知攻擊暴露面高級威脅行為及時報警全網信息收集精準定位失陷行為及時響應阻斷提升與威脅情報聯動效果騰訊NDR網絡威脅檢測與響應產品結構圖流量探針交換機深度檢測調查取證響應安全安

147、全惡意軟件分析垃圾郵件過濾釣魚郵件檢測收件人畫像發件人畫像惡意文件分析信譽分析資產關聯分析流量阻斷數據泄露風險發現資產安全評估安全場景產品結構哈勃沙盒天幕旁路阻斷引擎機器學習威脅檢測全包存儲全流量分析關聯分析深度分析處置第三方設備威脅情報攻擊者 受害者畫像規則引擎惡意附件檢測四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART4142多種開箱即用的安全分析專題 基于騰訊安全的運營經驗，提供了多個常見安全分析專題場景：密碼安全、勒索病毒、組件安全、攻擊IP分析、數據泄露、登錄行為分析、郵件安全和域名解析，從多種角度的

148、安全分析視圖和詳細關鍵信息，供安全運營管理人員重點關注及分析，安全效果開箱即用。應用場景：充分發揮云端騰訊威脅情報、專家知識庫的優勢，快速發現最新的攻擊手法和0day/1day漏洞利用，毫秒級響應海量攻擊行為。覆蓋云上、云下的多云混合云場景，通過多種檢測技術，發現流量中的攻擊行為和異常行為，如Web類攻擊、僵木蠕毒、漏洞利用、敏感信息泄露、密碼安全問題等，提供手動或自動的旁路阻斷能力。提供阻斷API，接入第三方檢測產品，形成閉環響應中心，從而降低復雜度，減少管理開支和提高管理有效性。通過安全專題進行場景化呈現，運用病毒指紋識別、文件行為分析、威脅情報、資產分析等豐富的檢測手段與可視化分析，覆蓋

149、病毒入侵和擴散過程，為企業提供直觀的一站式外部威脅檢測防護管理平臺。彌補內網流量防護的缺失，發現內網滲透行為，檢測東西向的流量威脅，如域滲透行為等，通過對域內流量、日志、行為數據的即時分析，識別域內安全風險，快速發現惡意軟件橫向移動跡象，在攻擊者突破網絡單點進入內網展開下一步行動之前，提前感知快速響應，從而避免災難事件發生。從流量中盤點活躍資產、活躍API，統計分析業務訪問及安全事件情況，發現潛在和已經發生的數據泄露、敏感信息泄露等風險事件，審計API異常行為，幫助業務團隊發現安全問題并協同處置。四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階

150、價值THE FOURTH PART4344攻防演練、重保場景內網橫移檢測幫助業務發現問題云上/云下/混合云全網流量檢測與響應勒索病毒、挖礦木馬防護多種開箱即用的安全分析專題 基于騰訊安全的運營經驗，提供了多個常見安全分析專題場景：密碼安全、勒索病毒、組件安全、攻擊IP分析、數據泄露、登錄行為分析、郵件安全和域名解析，從多種角度的安全分析視圖和詳細關鍵信息，供安全運營管理人員重點關注及分析，安全效果開箱即用。應用場景：充分發揮云端騰訊威脅情報、專家知識庫的優勢，快速發現最新的攻擊手法和0day/1day漏洞利用，毫秒級響應海量攻擊行為。覆蓋云上、云下的多云混合云場景，通過多種檢測技術，發現流量中

151、的攻擊行為和異常行為，如Web類攻擊、僵木蠕毒、漏洞利用、敏感信息泄露、密碼安全問題等，提供手動或自動的旁路阻斷能力。提供阻斷API，接入第三方檢測產品，形成閉環響應中心，從而降低復雜度，減少管理開支和提高管理有效性。通過安全專題進行場景化呈現，運用病毒指紋識別、文件行為分析、威脅情報、資產分析等豐富的檢測手段與可視化分析，覆蓋病毒入侵和擴散過程，為企業提供直觀的一站式外部威脅檢測防護管理平臺。彌補內網流量防護的缺失，發現內網滲透行為，檢測東西向的流量威脅，如域滲透行為等，通過對域內流量、日志、行為數據的即時分析，識別域內安全風險，快速發現惡意軟件橫向移動跡象，在攻擊者突破網絡單點進入內網展開

152、下一步行動之前，提前感知快速響應，從而避免災難事件發生。從流量中盤點活躍資產、活躍API，統計分析業務訪問及安全事件情況，發現潛在和已經發生的數據泄露、敏感信息泄露等風險事件，審計API異常行為，幫助業務團隊發現安全問題并協同處置。四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART4344攻防演練、重保場景內網橫移檢測幫助業務發現問題云上/云下/混合云全網流量檢測與響應勒索病毒、挖礦木馬防護 安全運營服務（MDR）以服務外包形式，為企業提供安全運營標準化服務，解決企業自建安全團隊面臨安全人員不足、技能缺失、無法對

153、安全事件提供7x24的監測、檢測、分析和響應等問題，避免企業遭受高級威脅攻擊，讓企業可以在資源有限的情況下保障安全運營效果，減輕企業安全運營成本。安全運營服務（MDR）可及時發現安全風險并調整防御措施，全面持續的對安全事件進行監控、威脅檢測并協助企業做威脅處置。安全運營服務（MDR）應具備以下特點：MDR構建最佳的安全運營效果04 強大的工具為服務支撐MDR的服務人員，需要使用高級威脅分析、威脅情報、溯源取證攻擊等安全工具，結合人力專業知識，以快速的識別和處置威脅。01 云端能力提供服務支持MDR的服務人員，會借助威脅情報云端能力發現最新的安全威脅、使用云端共享的專家知識庫，聯合威脅情報研究人

154、員聯合擴大可用于安全分析的數據范圍。02 可廣泛覆蓋的服務范圍MDR的服務團隊，具備檢測和響應任何類型攻擊所需的專業知識，廣泛的服務覆蓋面，可持續監控企業安全環境，隨時隨地的對威脅做出響應。03 騰訊MDR服務，依托SOC+產品體系，充分將產品能力與安全專家經驗結合，具備以下能力：效果可量化的服務內容MDR的服務內容，應有明確、清晰的服務清單，可評估服務交付質量，通過對應的服務交付物給客戶呈現直觀的服務交付效果。04強大的安全工具騰訊MDR服務，圍繞SOC+產品設計標準化安全運營服務包，通過MDR安全運營服務充分發揮SOC+產品的安全效果，落地安全運營技術標準。云端能力賦能交鑰匙方式的標準化的

155、服務包騰訊MDR服務，充分利用騰訊威脅情報云優勢，超越單個服務對象，結合全網威脅情報能力和云端共建的專家知識庫，對被服務客群和行業進行全面的遠程+現場服務。完善的服務生態騰訊MDR服務，通過引入ASP（騰訊授權服務合作伙伴）、CSP合作伙伴（騰訊認證服務合作伙伴），建立起覆蓋全國范圍的服務支撐體系和人員儲備，幫助企業主動發現威脅、調查可疑活動、對安全事件做出響應。針對企業不同時期、不同場景的安全運營需求，以服務效果和交付質量為結果導向和驗收標準，提供交付、運營、售后標準化的安全運營標準服務包，各類標準化交付包有完整的服務工作說明書（SOW）和服務交付基線（SLA）。四、SOC+安全運營體系四大

156、進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART4546 安全運營服務（MDR）以服務外包形式，為企業提供安全運營標準化服務，解決企業自建安全團隊面臨安全人員不足、技能缺失、無法對安全事件提供7x24的監測、檢測、分析和響應等問題，避免企業遭受高級威脅攻擊，讓企業可以在資源有限的情況下保障安全運營效果，減輕企業安全運營成本。安全運營服務（MDR）可及時發現安全風險并調整防御措施，全面持續的對安全事件進行監控、威脅檢測并協助企業做威脅處置。安全運營服務（MDR）應具備以下特點：MDR構建最佳的安全運營效果04 強大的工具為服務支撐MDR的服

157、務人員，需要使用高級威脅分析、威脅情報、溯源取證攻擊等安全工具，結合人力專業知識，以快速的識別和處置威脅。01 云端能力提供服務支持MDR的服務人員，會借助威脅情報云端能力發現最新的安全威脅、使用云端共享的專家知識庫，聯合威脅情報研究人員聯合擴大可用于安全分析的數據范圍。02 可廣泛覆蓋的服務范圍MDR的服務團隊，具備檢測和響應任何類型攻擊所需的專業知識，廣泛的服務覆蓋面，可持續監控企業安全環境，隨時隨地的對威脅做出響應。03 騰訊MDR服務，依托SOC+產品體系，充分將產品能力與安全專家經驗結合，具備以下能力：效果可量化的服務內容MDR的服務內容，應有明確、清晰的服務清單，可評估服務交付質量

158、，通過對應的服務交付物給客戶呈現直觀的服務交付效果。04強大的安全工具騰訊MDR服務，圍繞SOC+產品設計標準化安全運營服務包，通過MDR安全運營服務充分發揮SOC+產品的安全效果，落地安全運營技術標準。云端能力賦能交鑰匙方式的標準化的服務包騰訊MDR服務，充分利用騰訊威脅情報云優勢，超越單個服務對象，結合全網威脅情報能力和云端共建的專家知識庫，對被服務客群和行業進行全面的遠程+現場服務。完善的服務生態騰訊MDR服務，通過引入ASP（騰訊授權服務合作伙伴）、CSP合作伙伴（騰訊認證服務合作伙伴），建立起覆蓋全國范圍的服務支撐體系和人員儲備，幫助企業主動發現威脅、調查可疑活動、對安全事件做出響應

159、。針對企業不同時期、不同場景的安全運營需求，以服務效果和交付質量為結果導向和驗收標準，提供交付、運營、售后標準化的安全運營標準服務包，各類標準化交付包有完整的服務工作說明書（SOW）和服務交付基線（SLA）。四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART4546 為保障安全運營服務（MDR)的服務質量和交付效果，建立一、二、三線的服務支撐體系，提供規范的服務流程，實現SOC+產品標準化安全運營服務一站式服務。騰訊安全運營服務（MDR）標準化服務包可以作為訂閱式的服務，提供以下服務內容：圖9 SOC+產品配套標

160、準化服務落地安全運營效果圖圖8 SOC+產品配套標準化服務交付模式示意圖SOC+產品配套標準化服務交付模式示意圖工作流程調研、確認方案設計策略配置交付安全運營報告交付驗收產品配套標準化服務交付模式針對技術問題進行分析研究制定安全運營標準化服務交付標準和基線對交付和驗收報告進行復核三線技術專家針對產品實施需求進行溝通確認，輸出實施交付和測試方案；現場進行設備聯調和標準化安全運營服務交付輸出交付和驗收報告一線駐場交付全程把控項目進度和項目質量與客戶溝通交付情況，技術支撐，及時解決問題組織項目交付測試、項目匯報、項目驗收二線項目經理功能組件介紹產品使用培訓日常運維培訓培訓賦能產品標準化安全運營服務一

161、站式服務 提供重保、攻防演練期間安全分析、告警處置、攻擊溯源，每日輸出安全運營報告以及向監管單位、行業主管單位上報安全風險；確保重保、攻防演練期間及時發現和處置安全事件，實現客戶關鍵資產零失陷、零失守，取得排名靠前的攻防演練成績。重保及攻防演練期間值守服務 基于威脅檢測和資產脆弱性的安全風險評估框架，及時預測、發現安全威脅，將安全威脅以安全風險分析報告的形式直觀的呈現給客戶，針對發現的安全威脅給出具體的處置建議并協助客戶閉環處置，對已知威脅和未知威脅的進行有效的管理。提供日常運營期間安全日志對接、安全事件分級分類、場景化威脅建模、自動化聯動處置等安全策略持續優化，根據客戶實際情況建立安全運營評

162、價體系，通過安全運營報告量化呈現安全運營效果改進安全運營指標（如：MTTR、MTTD），從而提升客戶安全運營成熟度。日常運營安全策略優化服務安全威脅分析與處置服務四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART4748SOC+產品配套標準化服務安全運營效果圖保障重要資產不被攻破取得攻防演練行業名次改進安全運營指標提升安全運營成熟度全面進行安全分析排查和評估對已知威脅和未知威脅有效管理產品配套標準化服務落地安全運營效果 為保障安全運營服務（MDR)的服務質量和交付效果，建立一、二、三線的服務支撐體系，提供規范的服

163、務流程，實現SOC+產品標準化安全運營服務一站式服務。騰訊安全運營服務（MDR）標準化服務包可以作為訂閱式的服務，提供以下服務內容：圖9 SOC+產品配套標準化服務落地安全運營效果圖圖8 SOC+產品配套標準化服務交付模式示意圖SOC+產品配套標準化服務交付模式示意圖工作流程調研、確認方案設計策略配置交付安全運營報告交付驗收產品配套標準化服務交付模式針對技術問題進行分析研究制定安全運營標準化服務交付標準和基線對交付和驗收報告進行復核三線技術專家針對產品實施需求進行溝通確認，輸出實施交付和測試方案；現場進行設備聯調和標準化安全運營服務交付輸出交付和驗收報告一線駐場交付全程把控項目進度和項目質量與

164、客戶溝通交付情況，技術支撐，及時解決問題組織項目交付測試、項目匯報、項目驗收二線項目經理功能組件介紹產品使用培訓日常運維培訓培訓賦能產品標準化安全運營服務一站式服務 提供重保、攻防演練期間安全分析、告警處置、攻擊溯源，每日輸出安全運營報告以及向監管單位、行業主管單位上報安全風險；確保重保、攻防演練期間及時發現和處置安全事件，實現客戶關鍵資產零失陷、零失守，取得排名靠前的攻防演練成績。重保及攻防演練期間值守服務 基于威脅檢測和資產脆弱性的安全風險評估框架，及時預測、發現安全威脅，將安全威脅以安全風險分析報告的形式直觀的呈現給客戶，針對發現的安全威脅給出具體的處置建議并協助客戶閉環處置，對已知威脅

165、和未知威脅的進行有效的管理。提供日常運營期間安全日志對接、安全事件分級分類、場景化威脅建模、自動化聯動處置等安全策略持續優化，根據客戶實際情況建立安全運營評價體系，通過安全運營報告量化呈現安全運營效果改進安全運營指標（如：MTTR、MTTD），從而提升客戶安全運營成熟度。日常運營安全策略優化服務安全威脅分析與處置服務四、SOC+安全運營體系四大進階價值THE FOURTH PART四、SOC+安全運營體系四大進階價值THE FOURTH PART4748SOC+產品配套標準化服務安全運營效果圖保障重要資產不被攻破取得攻防演練行業名次改進安全運營指標提升安全運營成熟度全面進行安全分析排查和評估對

166、已知威脅和未知威脅有效管理產品配套標準化服務落地安全運營效果五、SOC標準加快應用落地THE FIFTH PART五、SOC標準加快應用落地THE FIFTH PART5049 標準化工作在安全運營中心的發展過程中起到保障、支撐和技術牽引的作用。高質量的技術標準能夠幫助安全廠商指引技術研發路線、提升產品功性能指標、優化產業協作效率，幫助用戶建立安全運營流程制度、提高運營能力、指導產品采購選型等。安全運營體系涉及的技術、產品、協作非常廣泛，目前業界已對整體的安全運營流程機制、產品技術能力、數據格式等進行了規范和定義。在態勢感知方面：2020年11月，由公安部第三研究所牽頭編制的 網絡安全態勢感知

167、技術標準化白皮書（2020版）正式發布，白皮書對網絡安全態勢感知技術的發展歷程、標準化需求與現狀等進行了梳理，研究給出了網絡安全態勢感知的技術框架和標準架構，提出了網絡安全態勢感知標準化工作的建議。2022年6月，全國信息安全標準化技術委員會歸口，由公安部第三研究所牽頭、騰訊安全、天融信、綠盟等廠商參與的 信息安全技術 網絡安全態勢感知通用技術要求 國家標準向社會正式公開征集意見。該標準是我國態勢感知領域的首個國家標準，面向態勢感知類安全產品，規定了網絡安全態勢感知總體技術框架中核心組件的通用技術要求。2020年，中國信息通信研究院牽頭推進SOC行業標準 面向云計算的安全運營中心能力 的研制工

168、作。該標準通過從SOC平臺能力、安全運營人員要求、安全運營建設（運營流程、考核）等維度，對安全運營中心總體要求進行規范。截止2022年9月，國內共有16家企業通過了依據該標準的安全運營中心能力評估。SOC相關整體標準01重點領域標準制定情況02SOC標準加快應用落地THE FIFTH PART圖10 面向云計算的安全運營中心能力 標準框架圖11 網絡安全態勢感知通用技術要求 標準總體技術框架人員能力建設事前預防事中響應事后溯源平臺能力建設通用模塊云資產管理安全策略管控安全風險評估漏洞治理安全時間分析和告警安全編排與自動化響應安全運營知識庫實時監控和可視化展示運營建設運營考核管理運營流程管理網絡

169、安全態勢感知的核心組件資源管理態勢展示態勢展示監測預警影響網絡安全態勢感知的要素策略管理前端數據源整體態勢展示數據交換接口數據分析接口聯動處置接口態勢報告監測告警安全預警專題態勢展示數據采集數據存儲數據預處理網絡攻擊分析資產風險分析應急處置安全決策數據共享異常行為分析安全事件分析數據處理規劃管理數據分析模型管理資產管理安全事件管理威脅信息管理態勢展示五、SOC標準加快應用落地THE FIFTH PART五、SOC標準加快應用落地THE FIFTH PART5049 標準化工作在安全運營中心的發展過程中起到保障、支撐和技術牽引的作用。高質量的技術標準能夠幫助安全廠商指引技術研發路線、提升產品功性

170、能指標、優化產業協作效率，幫助用戶建立安全運營流程制度、提高運營能力、指導產品采購選型等。安全運營體系涉及的技術、產品、協作非常廣泛，目前業界已對整體的安全運營流程機制、產品技術能力、數據格式等進行了規范和定義。在態勢感知方面：2020年11月，由公安部第三研究所牽頭編制的 網絡安全態勢感知技術標準化白皮書（2020版）正式發布，白皮書對網絡安全態勢感知技術的發展歷程、標準化需求與現狀等進行了梳理，研究給出了網絡安全態勢感知的技術框架和標準架構，提出了網絡安全態勢感知標準化工作的建議。2022年6月，全國信息安全標準化技術委員會歸口，由公安部第三研究所牽頭、騰訊安全、天融信、綠盟等廠商參與的

171、信息安全技術 網絡安全態勢感知通用技術要求 國家標準向社會正式公開征集意見。該標準是我國態勢感知領域的首個國家標準，面向態勢感知類安全產品，規定了網絡安全態勢感知總體技術框架中核心組件的通用技術要求。2020年，中國信息通信研究院牽頭推進SOC行業標準 面向云計算的安全運營中心能力 的研制工作。該標準通過從SOC平臺能力、安全運營人員要求、安全運營建設（運營流程、考核）等維度，對安全運營中心總體要求進行規范。截止2022年9月，國內共有16家企業通過了依據該標準的安全運營中心能力評估。SOC相關整體標準01重點領域標準制定情況02SOC標準加快應用落地THE FIFTH PART圖10 面向云

172、計算的安全運營中心能力 標準框架圖11 網絡安全態勢感知通用技術要求 標準總體技術框架人員能力建設事前預防事中響應事后溯源平臺能力建設通用模塊云資產管理安全策略管控安全風險評估漏洞治理安全時間分析和告警安全編排與自動化響應安全運營知識庫實時監控和可視化展示運營建設運營考核管理運營流程管理網絡安全態勢感知的核心組件資源管理態勢展示態勢展示監測預警影響網絡安全態勢感知的要素策略管理前端數據源整體態勢展示數據交換接口數據分析接口聯動處置接口態勢報告監測告警安全預警專題態勢展示數據采集數據存儲數據預處理網絡攻擊分析資產風險分析應急處置安全決策數據共享異常行為分析安全事件分析數據處理規劃管理數據分析模型

173、管理資產管理安全事件管理威脅信息管理態勢展示SOC標準演進趨勢03 隨著客戶和市場對SOC體系的廣泛應用以及該技術架構的不斷成熟，SOC“平臺型”廠商將發揮更大的行業牽引作用。SOC平臺將集成更多安全產品和能力，并通過標準化的接口將能力開放和共享，為客戶、合作伙伴提供更加完整和友好的體驗與對接效率。標準化工作也將圍繞SOC架構體系、平臺技術接口和互操作性、數據規范，以及各模塊產品功性能要求等方向深入探索。通過標準化工作不斷驅動技術發展、產業協同和客戶應用的不斷提升和能力完善。五、SOC標準加快應用落地THE FIFTH PART五、SOC標準加快應用落地THE FIFTH PART5251 在

174、威脅情報方面：數據格式標準，威脅情報能力在SOC體系對高級威脅分析發現、提升安全事件響應效率等具有關鍵作用。隨著安全產業鏈和分工迅速發展、安全影響全球化日益顯著，安全運營工作對威脅情報的交換共享成為基本需求，需要保證威脅情報數據具有互操作性。因此國內外多個組織開展了相關數據格式的標準化工作，例如國外的結構化威脅信息表達式（STIX）和情報信息的可信自動化交換（TAXII）標準體系，國內于2018 年國家發布的 GB/T 366432018 信息安全技術 網絡安全威脅信息格式規范 國家標準。標準從可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等八個組件進行描述，

175、并將這些組件劃分為對象、方法和事件三個域，最終構建出一個完整的網絡安全威脅信息表達模型。SOC標準演進趨勢03 隨著客戶和市場對SOC體系的廣泛應用以及該技術架構的不斷成熟，SOC“平臺型”廠商將發揮更大的行業牽引作用。SOC平臺將集成更多安全產品和能力，并通過標準化的接口將能力開放和共享，為客戶、合作伙伴提供更加完整和友好的體驗與對接效率。標準化工作也將圍繞SOC架構體系、平臺技術接口和互操作性、數據規范，以及各模塊產品功性能要求等方向深入探索。通過標準化工作不斷驅動技術發展、產業協同和客戶應用的不斷提升和能力完善。五、SOC標準加快應用落地THE FIFTH PART五、SOC標準加快應用

176、落地THE FIFTH PART5251 在威脅情報方面：數據格式標準，威脅情報能力在SOC體系對高級威脅分析發現、提升安全事件響應效率等具有關鍵作用。隨著安全產業鏈和分工迅速發展、安全影響全球化日益顯著，安全運營工作對威脅情報的交換共享成為基本需求，需要保證威脅情報數據具有互操作性。因此國內外多個組織開展了相關數據格式的標準化工作，例如國外的結構化威脅信息表達式（STIX）和情報信息的可信自動化交換（TAXII）標準體系，國內于2018 年國家發布的 GB/T 366432018 信息安全技術 網絡安全威脅信息格式規范 國家標準。標準從可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊

177、目標、攻擊方法、應對措施等八個組件進行描述，并將這些組件劃分為對象、方法和事件三個域，最終構建出一個完整的網絡安全威脅信息表達模型?；赟OC的安全運營模式仍在不斷發展演變中，企業關心如何評估自身安全運營的成熟度。當前，SOC安全運營模式仍處于廣泛應用階段，許多企業不確定自身正在施行的安全運營模式是否高效、安全、可靠。國內外關于SOC的建設也缺少評判依據，需要建立成熟度模型來判斷其發展程度。因此，大量企業都迫切希望能夠有更加科學的方法來評估自身SOC安全運營模式的成熟度，幫助企業更清楚地定位自身在后疫情時代安全領域的發展水平，以及持續發展和優化的方向。若需要深刻理解和評判企業SOC安全運營模式

178、成熟度，不僅需要安全的視角，也需要業務的視角，來共同解構SOC。為此，我們認為SOC成熟度模型應當有5個階段：模型基本情況01SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5453 綜上分析，針對企業對于SOC安全運營模式成熟度評估的需求，我們建立了一套評估SOC的成熟度的模型：模型分為6個領域，分別是：戰略規劃、業務支撐、合規管理、團隊配備、技術保障、運營維護。每個領域，從0到5分進行打分，進行整體量化加權。L1初始階段企業部署了基本的安全設備。L2基礎階段滿足安全的規劃建設與維護。L3運行階段以安

179、全的能力建設和標準化流程建設為主。L4體系階段實現安全體系化建設和運營。L5成熟階段具備安全運營自 動 化、智 能化，實現自適應的安全體系。級別狀態SOC成熟度目標L1初始階段在初始建設階段，安全建設以預防為主，具有防火墻、防病毒系統運維能力。但是資產不清晰、缺少漏洞管理機制，對整體安全威脅不可見，沒有事件響應處置流程，同時缺乏頂層設計和運維團隊，沒有和業務進行融合。L2基礎階段安全建設以合規為主，具備安全監控人員，有資產管理動作及漏洞管理認知，對安全威脅有一定可見性，基本滿足安全合規要求，但不具備與威脅事件深入分析的能力，沒有建立成熟的事件響應流程和機制，同時缺乏頂層設計，沒有和業務進行融合

180、。L3運行階段安全運營團隊各崗位職責明確，資產管理及漏洞管理已形成常態化流程與機制，具備威脅監測、分析及事件處置能力，對整體安全威脅態勢可見，有成熟的事件響應流程，具備初步的量化管理能力。但缺乏頂層設計，沒有和業務進行深度融合。L4體系階段具有安全事件響應中心或安全運營中心等安全運營常態組織，運營團隊各崗位之間緊密配合，資產、漏洞等基礎工作扎實有效，能夠高效地開展監測、響應、處置、調查取證分析工作，能夠積極主動挖掘威脅情報，能夠應對高級別的安全攻擊（APT等），具有完善人員培養和量化考核機制，安全運營流程完善，部門間協同效率高。L5成熟階段具備頂層的安全戰略規劃和設計，在公司內部達成共識。除了

181、“體系階段”安全能力外，能夠有機協同安全團隊和業務部門自動化、智能化和自適應應對高級威脅，最大化減少人工參與、提升效率。還具備網絡取證分析和威脅情報收集能力，能夠發現未知威脅，能夠使用自動化工具或手段開展7x24小時安全監測、事件響應處置工作，能夠應對高級安全威脅(APT)。安全運營工作有全面的可量化指標，高效有序?；赟OC的安全運營模式仍在不斷發展演變中，企業關心如何評估自身安全運營的成熟度。當前，SOC安全運營模式仍處于廣泛應用階段，許多企業不確定自身正在施行的安全運營模式是否高效、安全、可靠。國內外關于SOC的建設也缺少評判依據，需要建立成熟度模型來判斷其發展程度。因此，大量企業都迫切

182、希望能夠有更加科學的方法來評估自身SOC安全運營模式的成熟度，幫助企業更清楚地定位自身在后疫情時代安全領域的發展水平，以及持續發展和優化的方向。若需要深刻理解和評判企業SOC安全運營模式成熟度，不僅需要安全的視角，也需要業務的視角，來共同解構SOC。為此，我們認為SOC成熟度模型應當有5個階段：模型基本情況01SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5453 綜上分析，針對企業對于SOC安全運營模式成熟度評估的需求，我們建立了一套評估SOC的成熟度的模型：模型分為6個領域，分別是：戰略規劃、業務

183、支撐、合規管理、團隊配備、技術保障、運營維護。每個領域，從0到5分進行打分，進行整體量化加權。L1初始階段企業部署了基本的安全設備。L2基礎階段滿足安全的規劃建設與維護。L3運行階段以安全的能力建設和標準化流程建設為主。L4體系階段實現安全體系化建設和運營。L5成熟階段具備安全運營自 動 化、智 能化，實現自適應的安全體系。級別狀態SOC成熟度目標L1初始階段在初始建設階段，安全建設以預防為主，具有防火墻、防病毒系統運維能力。但是資產不清晰、缺少漏洞管理機制，對整體安全威脅不可見，沒有事件響應處置流程，同時缺乏頂層設計和運維團隊，沒有和業務進行融合。L2基礎階段安全建設以合規為主，具備安全監控

184、人員，有資產管理動作及漏洞管理認知，對安全威脅有一定可見性，基本滿足安全合規要求，但不具備與威脅事件深入分析的能力，沒有建立成熟的事件響應流程和機制，同時缺乏頂層設計，沒有和業務進行融合。L3運行階段安全運營團隊各崗位職責明確，資產管理及漏洞管理已形成常態化流程與機制，具備威脅監測、分析及事件處置能力，對整體安全威脅態勢可見，有成熟的事件響應流程，具備初步的量化管理能力。但缺乏頂層設計，沒有和業務進行深度融合。L4體系階段具有安全事件響應中心或安全運營中心等安全運營常態組織，運營團隊各崗位之間緊密配合，資產、漏洞等基礎工作扎實有效，能夠高效地開展監測、響應、處置、調查取證分析工作，能夠積極主動

185、挖掘威脅情報，能夠應對高級別的安全攻擊（APT等），具有完善人員培養和量化考核機制，安全運營流程完善，部門間協同效率高。L5成熟階段具備頂層的安全戰略規劃和設計，在公司內部達成共識。除了“體系階段”安全能力外，能夠有機協同安全團隊和業務部門自動化、智能化和自適應應對高級威脅，最大化減少人工參與、提升效率。還具備網絡取證分析和威脅情報收集能力，能夠發現未知威脅，能夠使用自動化工具或手段開展7x24小時安全監測、事件響應處置工作，能夠應對高級安全威脅(APT)。安全運營工作有全面的可量化指標，高效有序。從SOC的建設上來說，一般是技術先行，管理再跟上，進而擴展到IT及業務的風險管理體系，即由安全技

186、術體系、安全管理體系、安全運營體系組成。其中，技術體系、管理體系及運營體系雖然存在著一定的關系，但絕對不是技術體系全部建設完成，才開始進行安全管理體系及安全運營體系的建設，三個體系是從安全運營中心建設之初就同時存在并且有機協調運行的。公司高層自上而下，將SOC安全運營體系作為公司發展的重要組成部分，制定相關的公司發展路線，設計相關的公司架構，并有效地將安全運營對于公司的重要性和定位傳達給公司成員。公司業務及SOC安全運營體系相關的方針與底層支持緊密配合，使得公司的所有業務能夠在SOC安全運營保障下順暢持續進行，且員工理解SOC安全運營的理念、重要性與相關的操作方法和規章制度。戰略規劃業務支撐安

187、全合規，尤其是滿足等保、網絡安全法或相關行業政策規范要求是企業開展安全能力建設的第一驅動力。公司建立與SOC安全運營體系相關的一整套規章制度，以確?；旌限k公安全的執行。公司配備SOC安全運營體系所需的專門技術開發人員、運營維護與接口人，從人力上確保有專業團隊實施安全運營的執行工作。合規管理團隊配置公司通過與SOC安全運營體系相關的多種技術工具，協同實現技術層面對安全運營的保障、報警、預警與迭代優化，同時確保安全運營工作的系統化、持續化。公司對SOC安全運營體系相關的體系進行實時持續的運維，以及對SOC安全運營相關的數據進行統計、監控、分析、并指導公司的在安全領域決策。技術保障運營維護20%20

188、%15%15%15%15%戰略規劃業務支撐合規管理團隊配置技術保障運營維護戰略規劃基礎階段運行階段體系階段成熟階段初始階段戰略規劃戰略規劃戰略規劃戰略規劃戰略規劃六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5655 從SOC的建設上來說，一般是技術先行，管理再跟上，進而擴展到IT及業務的風險管理體系，即由安全技術體系、安全管理體系、安全運營體系組成。其中，技術體系、管理體系及運營體系雖然存在著一定的關系，但絕對不是技術體系全部建設完成，才開始進行安全管理體系及安全運營體系的建設，三個體系是從安全運營中心建設之初就同時存在并且有機協調運行的。公

189、司高層自上而下，將SOC安全運營體系作為公司發展的重要組成部分，制定相關的公司發展路線，設計相關的公司架構，并有效地將安全運營對于公司的重要性和定位傳達給公司成員。公司業務及SOC安全運營體系相關的方針與底層支持緊密配合，使得公司的所有業務能夠在SOC安全運營保障下順暢持續進行，且員工理解SOC安全運營的理念、重要性與相關的操作方法和規章制度。戰略規劃業務支撐安全合規，尤其是滿足等保、網絡安全法或相關行業政策規范要求是企業開展安全能力建設的第一驅動力。公司建立與SOC安全運營體系相關的一整套規章制度，以確?；旌限k公安全的執行。公司配備SOC安全運營體系所需的專門技術開發人員、運營維護與接口人，

190、從人力上確保有專業團隊實施安全運營的執行工作。合規管理團隊配置公司通過與SOC安全運營體系相關的多種技術工具，協同實現技術層面對安全運營的保障、報警、預警與迭代優化，同時確保安全運營工作的系統化、持續化。公司對SOC安全運營體系相關的體系進行實時持續的運維，以及對SOC安全運營相關的數據進行統計、監控、分析、并指導公司的在安全領域決策。技術保障運營維護20%20%15%15%15%15%戰略規劃業務支撐合規管理團隊配置技術保障運營維護戰略規劃基礎階段運行階段體系階段成熟階段初始階段戰略規劃戰略規劃戰略規劃戰略規劃戰略規劃六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE

191、 SIXTH PART5655 該企業有明確的SOC發展目標，公司從戰略層面制定架構體現了對整個工作的重視程度，但是具體的行動路徑與各階段子目標尚不明確。因此得分為2分。在戰略規劃方面 部分核心業務完成與SOC安全體系相磨合打通，但尚未覆蓋所有業務部門。因此得分為3分。在業務支撐方面 當然，SOC安全運營體系的建設也是循序漸進、按需建設的，安全運營中心的成熟度也是一步步進行建設的，并不是一蹴而就到達成熟階段的。每個階段的安全運營中心都應該具備自身的目標，有能有的放矢。量化加權得分后，我們可以對企業SOC安全運營體系進行系統評價：我們以一家金融機構A為例，運用SOC安全成熟度模型進行評估。金融機

192、構A目前有2000名員工，8個業務部門和3個職能部門，企業對安全工作較為重視。2022年，金融機構A開始打造SOC安全運營體系，并將SOC安全運營體系工作上升到公司戰略層面，公司升級改造了SOC安全運營體系，實現TIX、SOC聯動與打通，初步探索了NDR的落地使用，并配備了相應的運維保障人員。公司總部先部署，下屬單位陸續部署和計劃部署。經過量化評估后，我們可以在以下6個方面給予這家企業進行打分，具體如下：SOC成熟度模型實踐02得分序號234512-2.993-3.994-4.84.8-51-1.99基礎階段：滿足安全和規劃建設與維護運行階段：以安全能力建設和標準化流程為主體系階段：實現安全體

193、系化建設和運營成熟階段：具備完善的安全運營能力及技術和管理探索初始階段：企業部署了基本的安全設備描述備注六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5857SOC成熟度安全技術體系安全運營體系安全管理體系 該企業有明確的SOC發展目標，公司從戰略層面制定架構體現了對整個工作的重視程度，但是具體的行動路徑與各階段子目標尚不明確。因此得分為2分。在戰略規劃方面 部分核心業務完成與SOC安全體系相磨合打通，但尚未覆蓋所有業務部門。因此得分為3分。在業務支撐方面 當然，SOC安全運營體系的建設也是循序漸進、按需建設的，安全運營中心的成熟度也是一步步進

194、行建設的，并不是一蹴而就到達成熟階段的。每個階段的安全運營中心都應該具備自身的目標，有能有的放矢。量化加權得分后，我們可以對企業SOC安全運營體系進行系統評價：我們以一家金融機構A為例，運用SOC安全成熟度模型進行評估。金融機構A目前有2000名員工，8個業務部門和3個職能部門，企業對安全工作較為重視。2022年，金融機構A開始打造SOC安全運營體系，并將SOC安全運營體系工作上升到公司戰略層面，公司升級改造了SOC安全運營體系，實現TIX、SOC聯動與打通，初步探索了NDR的落地使用，并配備了相應的運維保障人員。公司總部先部署，下屬單位陸續部署和計劃部署。經過量化評估后，我們可以在以下6個方

195、面給予這家企業進行打分，具體如下：SOC成熟度模型實踐02得分序號234512-2.993-3.994-4.84.8-51-1.99基礎階段：滿足安全和規劃建設與維護運行階段：以安全能力建設和標準化流程為主體系階段：實現安全體系化建設和運營成熟階段：具備完善的安全運營能力及技術和管理探索初始階段：企業部署了基本的安全設備描述備注六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART5857SOC成熟度安全技術體系安全運營體系安全管理體系 在SOC安全體系中，搭建了SOC、TIX的融合應用，但NDR覆蓋面不足，且MDR沒有涉及，因此得分為3分。在技術保障

196、方面 有專門的運維團隊，但是各數據源相互尚未打通，運維支持但并未覆蓋整個公司SOC安全體系。因此得分為3分。在運營維護方面 公司在開始構建SOC體系指出，將合規放在第一位，因此得分為4分。在合規管理方面 有SOC安全相關負責人，但尚未在核心業務部門和職能部門設立對接人，團隊成員目前尚未固定，因此得分為3分。在團隊配置方面 具體來看：該金融機構構建了SOC安全體系的戰略架構，同時在TIX、SOC、NDR等業務模塊均有布局；有一定的安全技術和安全運維人員，基本上打造了安全管理、安全技術、安全運維的體系結構。這些能夠引導企業從方向上和管理上，走在SOC的正確發展道路。但是，該金融機構在管理細則、技術

197、工具和安全人員方面依然薄弱，部分能力還處于尚未啟動階段，尤其是SOC里的MDR部分沒有布局和落地，需要進一步增強。同時，從安全技術人員方面需要加快補齊，這樣能快速地提升技術和運維能力。同時，需要注意的是SOC安全體系不是與業務割裂的，而是需要與該金融機構的業務進行深度融合與綁定，因此需要以業務契合度作為SOC安全體系成熟度的重要組成部分進行加快覆蓋，從而真正發揮SOC安全體系的能力和效果。計算整體得分：該企業的整體得分=2（戰略規劃）*20%+3（業務支撐得分）*20%+4（合規管理得分）*15%+3（團隊配置得分）*15%+3（技術運維得分）*15%+3（運維保障得分）*15%=2.95六、

198、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART6059結論與分析：該企業的整體SOC成熟度評分為2.95，屬于基礎階段。在SOC安全體系中，搭建了SOC、TIX的融合應用，但NDR覆蓋面不足，且MDR沒有涉及，因此得分為3分。在技術保障方面 有專門的運維團隊，但是各數據源相互尚未打通，運維支持但并未覆蓋整個公司SOC安全體系。因此得分為3分。在運營維護方面 公司在開始構建SOC體系指出，將合規放在第一位，因此得分為4分。在合規管理方面 有SOC安全相關負責人，但尚未在核心業務部門和職能部門設立對接人，團隊成員目前尚未固定，因此得分為3分。在團隊配置

199、方面 具體來看：該金融機構構建了SOC安全體系的戰略架構，同時在TIX、SOC、NDR等業務模塊均有布局；有一定的安全技術和安全運維人員，基本上打造了安全管理、安全技術、安全運維的體系結構。這些能夠引導企業從方向上和管理上，走在SOC的正確發展道路。但是，該金融機構在管理細則、技術工具和安全人員方面依然薄弱，部分能力還處于尚未啟動階段，尤其是SOC里的MDR部分沒有布局和落地，需要進一步增強。同時，從安全技術人員方面需要加快補齊，這樣能快速地提升技術和運維能力。同時，需要注意的是SOC安全體系不是與業務割裂的，而是需要與該金融機構的業務進行深度融合與綁定，因此需要以業務契合度作為SOC安全體系

200、成熟度的重要組成部分進行加快覆蓋，從而真正發揮SOC安全體系的能力和效果。計算整體得分：該企業的整體得分=2（戰略規劃）*20%+3（業務支撐得分）*20%+4（合規管理得分）*15%+3（團隊配置得分）*15%+3（技術運維得分）*15%+3（運維保障得分）*15%=2.95六、SOC成熟度模型THE SIXTH PART六、SOC成熟度模型THE SIXTH PART6059結論與分析：該企業的整體SOC成熟度評分為2.95，屬于基礎階段。七、未來展望THE SEVENTH PART七、未來展望THE SEVENTH PART6162 隨著網絡攻擊的手段、復雜性和技術能力在快速豐富和迭代，

201、安全運營工作思路勢必將逐步走向強調“實戰化”、“體系化”、“平臺化”，具備“原子力”、“產品力”和“生態力”的安全運營。安全運營體系呈現以下發展趨勢：未 來 展 望THE SEVENTH PART 貼近實戰構建“防得住”的安全運營體系 為應對開源代碼、業務上云、深層漏洞、復雜供應鏈、社交媒體引發的網絡安全威脅，企業需要根據實戰化應用場景找漏洞，補短板，提高響應能力，最終目標是提升自身的安全防護水平。目前網絡安全實戰化已成為業內共識，實戰化水平成為檢驗網絡安全能力的重要標準。企業對安全運營提出更高要求，力爭做到“防微杜漸、有備無患”，同時采取比傳統安全監控、檢測和響應更加先進的實戰方法和經驗，來

202、管理安全風險，打造“防得住”的安全運營體系。01 人機匯智發揮專家經驗與人工智能雙重融合優勢 在安全大數據的基礎和驅動下，安全運營走向智能化是必由之路。在原有安全能力的基礎上，借助機器學習、深度學習等人工智能技術，提升已知和未知威脅的監測、分析、研判和響應能力，顯著提升安全運營效率。智能化將能夠幫助企業有效預測潛在的安全風險和威脅，在復雜系統環境中，尤其是需要快速適應、智能化對抗時，以主動學習為核心的自動化技術將帶來更高的價值，例如通過人工智能手段對網絡威脅進行定期檢查，協助企業準確分析、關聯相關數據和業務，在安全框架內做好安全防御等，人工智能將對專業人員進行智力補充，實現人機匯智。02 多維

203、協同實現云端賦能-本地聯動-產業鏈協同閉環 介于很多企事業單位已部署了大量安全防護產品和設備，但多數設備是以異構式堆疊為主，無法深度協同，而且每天將產生海量告警，安全運營迫切需要走向自動化。通過統一的安全策略、運營平臺調用各產品接口，實現安全協同IPDRR（識別/保護/檢測/響應/恢復），以打破安全孤獨和信息孤島效應。同時在安全人員短缺的現實面前，需要更大程度實現自動化調查分析和安全編排響應，充分利用數據與知識共享、智能分析和輔助決策等技術，實現事件的自動調查分析、自動響應、處理與通報等功能，從而最大化發揮安全產品與安全人才的能力。03 生態融合提升綜合安全效能的必然選擇 隨著SOC+等新理念

204、的提出和落地，產業生態將不斷開放，各安全廠商的合作不斷加強，在降低復雜度、減少管理開支和提高有效性的共同推動下，安全技術和能力需要進一步加快協同與融合?！吧鷳B類”廠商和精于細分方向的“垂直類”廠商將在各自擅長的領域不斷深化能力并積極開展協同。另外隨著SaaS類的安全服務不斷被客戶所接受，來自不同廠商的各種安全能力也將深度協同，安全能力的整合將有效降低總體成本，提高長期運營效率，進而為客戶帶來一致和完善的安全體驗，提高整體安全系數。04七、未來展望THE SEVENTH PART七、未來展望THE SEVENTH PART6162 隨著網絡攻擊的手段、復雜性和技術能力在快速豐富和迭代，安全運營工

205、作思路勢必將逐步走向強調“實戰化”、“體系化”、“平臺化”，具備“原子力”、“產品力”和“生態力”的安全運營。安全運營體系呈現以下發展趨勢：未 來 展 望THE SEVENTH PART 貼近實戰構建“防得住”的安全運營體系 為應對開源代碼、業務上云、深層漏洞、復雜供應鏈、社交媒體引發的網絡安全威脅，企業需要根據實戰化應用場景找漏洞，補短板，提高響應能力，最終目標是提升自身的安全防護水平。目前網絡安全實戰化已成為業內共識，實戰化水平成為檢驗網絡安全能力的重要標準。企業對安全運營提出更高要求，力爭做到“防微杜漸、有備無患”，同時采取比傳統安全監控、檢測和響應更加先進的實戰方法和經驗，來管理安全風

206、險，打造“防得住”的安全運營體系。01 人機匯智發揮專家經驗與人工智能雙重融合優勢 在安全大數據的基礎和驅動下，安全運營走向智能化是必由之路。在原有安全能力的基礎上，借助機器學習、深度學習等人工智能技術，提升已知和未知威脅的監測、分析、研判和響應能力，顯著提升安全運營效率。智能化將能夠幫助企業有效預測潛在的安全風險和威脅，在復雜系統環境中，尤其是需要快速適應、智能化對抗時，以主動學習為核心的自動化技術將帶來更高的價值，例如通過人工智能手段對網絡威脅進行定期檢查，協助企業準確分析、關聯相關數據和業務，在安全框架內做好安全防御等，人工智能將對專業人員進行智力補充，實現人機匯智。02 多維協同實現云

207、端賦能-本地聯動-產業鏈協同閉環 介于很多企事業單位已部署了大量安全防護產品和設備，但多數設備是以異構式堆疊為主，無法深度協同，而且每天將產生海量告警，安全運營迫切需要走向自動化。通過統一的安全策略、運營平臺調用各產品接口，實現安全協同IPDRR（識別/保護/檢測/響應/恢復），以打破安全孤獨和信息孤島效應。同時在安全人員短缺的現實面前，需要更大程度實現自動化調查分析和安全編排響應，充分利用數據與知識共享、智能分析和輔助決策等技術，實現事件的自動調查分析、自動響應、處理與通報等功能，從而最大化發揮安全產品與安全人才的能力。03 生態融合提升綜合安全效能的必然選擇 隨著SOC+等新理念的提出和落

208、地，產業生態將不斷開放，各安全廠商的合作不斷加強，在降低復雜度、減少管理開支和提高有效性的共同推動下，安全技術和能力需要進一步加快協同與融合?！吧鷳B類”廠商和精于細分方向的“垂直類”廠商將在各自擅長的領域不斷深化能力并積極開展協同。另外隨著SaaS類的安全服務不斷被客戶所接受，來自不同廠商的各種安全能力也將深度協同，安全能力的整合將有效降低總體成本，提高長期運營效率，進而為客戶帶來一致和完善的安全體驗，提高整體安全系數。040101 011010 10 0010 1 001010 0010101 01001 01010 10101010 101 00 101010 10101 未來，騰訊安全將

209、依托20余年多業務安全運營及黑灰產對抗經驗，憑借行業頂尖安全專家、最完備安全大數據及AI技術積累，為企業構建安全戰略，并提供緊貼客戶業務需要的最佳實踐方案，守護政府及企業的數據、系統、業務安全，為產業數字化升級保駕護航。四、未來展望THE FOURTH PART四、未來展望THE FOURTH PART63640101 011010 10 0010 1 001010 0010101 01001 01010 10101010 101 00 101010 10101 未來，騰訊安全將依托20余年多業務安全運營及黑灰產對抗經驗，憑借行業頂尖安全專家、最完備安全大數據及AI技術積累，為企業構建安全戰略

210、，并提供緊貼客戶業務需要的最佳實踐方案，守護政府及企業的數據、系統、業務安全，為產業數字化升級保駕護航。四、未來展望THE FOURTH PART四、未來展望THE FOURTH PART6364 某大型集團目前正在數字化轉型過程中，IT架構逐步從本地IDC向私有云+公有云的混合多云架構過度。組織架構由集團總部和下屬單位構成。當前集團總部和下屬單位只完成了基本的安全產品部署，包括網絡安全、應用安全、主機安全等安全產品。由于數字化轉型中整個網絡安全環境復雜，網絡安全邊界外延擴大，給信息系統、數據安全帶來嚴峻的安全挑戰?；A網絡和信息系統防護體系不完善、主動防御能力欠缺、安全運營體系不健全，集團總

211、部和下屬單位無有效協同。安全運營主要依靠人工執行和手動操作，安全運營人員難以在海量、分散的流量及日志中去挖掘有效的攻擊信息，溯源攻擊鏈及支撐安全事件的處理，無法有效應對高強度的攻防對抗?；旌隙嘣平y一安全運營中心01騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART66651.項目背景面臨的主要挑戰為：無法直觀的可視化呈現各子單位的安全能力建設情況及安全運營能力?？蛻粢延卸喾N安全防護系統，但安全數據割裂、安全管理不統一導致安全威脅檢測、響應時效性不足?；ヂ摼W暴露面較大，復雜的應用中存在邏輯業務漏洞、脆

212、弱性、影子資產等安全風險，極易被黑客定向攻擊破、數據竊取從而造成嚴重安全事件。遭受的APT攻擊，會在多云混合云環境中進行云上、云下攻擊橫移和入侵傳播。分支機構和集團網絡安全建設分裂，安全攻防與安全運營能力亟需提升。分支機構眾多，私有云、公有云網絡環境復雜，安全建設成熟度不一致。整個集團安全建設沒有統一規劃，無有效手段進行統一安全監測與安全事件處置。某大型集團目前正在數字化轉型過程中，IT架構逐步從本地IDC向私有云+公有云的混合多云架構過度。組織架構由集團總部和下屬單位構成。當前集團總部和下屬單位只完成了基本的安全產品部署，包括網絡安全、應用安全、主機安全等安全產品。由于數字化轉型中整個網絡安

213、全環境復雜，網絡安全邊界外延擴大，給信息系統、數據安全帶來嚴峻的安全挑戰?；A網絡和信息系統防護體系不完善、主動防御能力欠缺、安全運營體系不健全，集團總部和下屬單位無有效協同。安全運營主要依靠人工執行和手動操作，安全運營人員難以在海量、分散的流量及日志中去挖掘有效的攻擊信息，溯源攻擊鏈及支撐安全事件的處理，無法有效應對高強度的攻防對抗?；旌隙嘣平y一安全運營中心01騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART66651.項目背景面臨的主要挑戰為：無法直觀的可視化呈現各子單位的安全能力建設情況及安

214、全運營能力?？蛻粢延卸喾N安全防護系統，但安全數據割裂、安全管理不統一導致安全威脅檢測、響應時效性不足?；ヂ摼W暴露面較大，復雜的應用中存在邏輯業務漏洞、脆弱性、影子資產等安全風險，極易被黑客定向攻擊破、數據竊取從而造成嚴重安全事件。遭受的APT攻擊，會在多云混合云環境中進行云上、云下攻擊橫移和入侵傳播。分支機構和集團網絡安全建設分裂，安全攻防與安全運營能力亟需提升。分支機構眾多，私有云、公有云網絡環境復雜，安全建設成熟度不一致。整個集團安全建設沒有統一規劃，無有效手段進行統一安全監測與安全事件處置。68八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH P

215、ART67 為做好集團混合多云統一安全防護、統籌安全管理。要求解決方案供應商具備公有云、私有化、大型企業生產網的安全防護體系的規劃、建設和攻防對抗經驗。騰訊安全將騰訊企業20多年安全建設經驗、以及在公有云、私有云上的最佳安全實踐，集成進“SOC+安全運營體系”解決方案中。推出混合多云統一安全運營中心，以威脅情報和攻防對抗為原子能力，驅動安全運營朝“實戰化”、“體系化”、“平臺化”發展和演進。通過調研集團現有網絡環境，制定貼合集團網絡安全建設的三年戰略規劃，建設混合多云統一安全運營中心以提供集中的安全事件監測、漏洞威脅檢測、告警快速發現、自動化安全事件調查、安全威脅及時響應處置、提供可視化安全運

216、營指標呈現的安全運營平臺。采用多級級聯架構將集團總部及下屬單位數據打通，將集團內的安全日志和告警進行統一采集、處理、分析、響應處置，實現集團一體化安全運營。包括：2.解決方案對接集團內私有云、公有云上的安 全日志和應用系統日志，實現多源異構數據范式化處理和綜合存儲管理；對接集團內部資產管理、身份認證系統、工單系統等已建的IT管理系統，打通安全能力、提升安全運營效率構建網絡安全態勢感知能力，實現威脅可視、可控，安全運營指標量化呈現。配套安全運營服務，幫助集團落地安全運營效果，對其安全運營人員進行安全培訓賦能，提升安全工作團隊獨立安全運營的能力。通過統一安全運營平臺，覆蓋綜合態勢感知，多租戶視角需

217、求，采集、匯聚、實時監控、回溯分析用戶網絡流量及安全日志管理，建立全景全量安全數據分析計算平臺，識別發現威脅行為的安全管理體系架構，實現了早發現、快響應的安全保障。01基于大數據分析技術和ATT&CK安全知識框架，建立符合集團網絡環境的Use Case分析模型庫，構建安全事件集中監測、檢測、安全告警自動化調查分析和響應處置的能力；0203040506可是大屏呈現數十種設備日志安全可視、威脅檢測、事件調查與響應統一安全運營中心SOC定制化安全運營指標大屏流量探針、IDS、IPS、WAF、防病毒特權系統、數據庫審計、抗DDOS、DNSDHCP、VPN、負載均衡、上網行為管理AD域控、無線認證、郵件

218、網關、防火墻、LinuxWin-dows服務器、統一nginx、流量分析設備、DLP、IAM系統、終端審計等各種設備日志數據上傳指令下發數據上傳 指令下發數據上傳指令下發影響網絡安全態勢感知的要素CMDB系統權限中心HR系統日志中臺用戶行為中心網絡管理系統對接情報數據下發騰訊威脅情報中心（云端）xx 公有云xx 私有云XX IDC下屬單位：安全運營中心68八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART67 為做好集團混合多云統一安全防護、統籌安全管理。要求解決方案供應商具備公有云、私有化、大型企業生產網的安全防護體系的規劃、建設和攻防對抗經

219、驗。騰訊安全將騰訊企業20多年安全建設經驗、以及在公有云、私有云上的最佳安全實踐，集成進“SOC+安全運營體系”解決方案中。推出混合多云統一安全運營中心，以威脅情報和攻防對抗為原子能力，驅動安全運營朝“實戰化”、“體系化”、“平臺化”發展和演進。通過調研集團現有網絡環境，制定貼合集團網絡安全建設的三年戰略規劃，建設混合多云統一安全運營中心以提供集中的安全事件監測、漏洞威脅檢測、告警快速發現、自動化安全事件調查、安全威脅及時響應處置、提供可視化安全運營指標呈現的安全運營平臺。采用多級級聯架構將集團總部及下屬單位數據打通，將集團內的安全日志和告警進行統一采集、處理、分析、響應處置，實現集團一體化安

220、全運營。包括：2.解決方案對接集團內私有云、公有云上的安 全日志和應用系統日志，實現多源異構數據范式化處理和綜合存儲管理；對接集團內部資產管理、身份認證系統、工單系統等已建的IT管理系統，打通安全能力、提升安全運營效率構建網絡安全態勢感知能力，實現威脅可視、可控，安全運營指標量化呈現。配套安全運營服務，幫助集團落地安全運營效果，對其安全運營人員進行安全培訓賦能，提升安全工作團隊獨立安全運營的能力。通過統一安全運營平臺，覆蓋綜合態勢感知，多租戶視角需求，采集、匯聚、實時監控、回溯分析用戶網絡流量及安全日志管理，建立全景全量安全數據分析計算平臺，識別發現威脅行為的安全管理體系架構，實現了早發現、快

221、響應的安全保障。01基于大數據分析技術和ATT&CK安全知識框架，建立符合集團網絡環境的Use Case分析模型庫，構建安全事件集中監測、檢測、安全告警自動化調查分析和響應處置的能力；0203040506可是大屏呈現數十種設備日志安全可視、威脅檢測、事件調查與響應統一安全運營中心SOC定制化安全運營指標大屏流量探針、IDS、IPS、WAF、防病毒特權系統、數據庫審計、抗DDOS、DNSDHCP、VPN、負載均衡、上網行為管理AD域控、無線認證、郵件網關、防火墻、LinuxWin-dows服務器、統一nginx、流量分析設備、DLP、IAM系統、終端審計等各種設備日志數據上傳指令下發數據上傳 指

222、令下發數據上傳指令下發影響網絡安全態勢感知的要素CMDB系統權限中心HR系統日志中臺用戶行為中心網絡管理系統對接情報數據下發騰訊威脅情報中心（云端）xx 公有云xx 私有云XX IDC下屬單位：安全運營中心 通過混合多云統一安全運營中心的建設，與集團安全建設戰略規劃緊密結合，助力客戶安全戰略目標落地；實現與集團業務深度結合，幫助客戶全面掌握集團安全態勢，形成安全預警、分析、響應、處置全生命周期閉環；可視化呈現安全運營量化指標，促進總部和下屬機構的安全運營成熟度，提升安全運營團隊的安全運營能力。簡化客戶安全運維管理，幫助客戶從每天處理超過百萬的安全告警中解脫；依托智能準確的安全運營平臺，使需要人

223、工分析的安全告警驟降到個位數；與客戶業務深度結合，幫助客戶全面掌握集團安全態勢，形成安全預警、防御、檢測、響應全生命周期閉環。3.方案價值預測通過內部威脅預測、外部威脅情報等手段，進行平臺暴露面分析，監控外部威脅，實現攻擊預測、提前預防的目標；防御面對持續攻擊，降低受攻擊面，實現“攻擊減速”的目標；檢測針對集團業務系統，通過云端威脅情報中心進行7*24小時在線檢測和響應，減少威脅停留時間，及時發現并控制事件，防止事件升級；響應深度威脅分析，聯動響應與處置，并結合安全運營標準化服務對安全事件進行實時監測，對發生的重大安全事件進行回溯分析，實現及時處置、止損、追蹤溯源的目標。01020304 某大

224、型企業的數字資產在企業商業活動起著關鍵作用。為了保護數字資產，企業在主備兩個數據中心部署了大量的安全防護產品，但仍然不時出現入侵成功的事件?，F有安全防護體系無法應對高級可持續性（APT）攻擊，需要針對高級威脅攻擊檢測場景做全面覆蓋，實現大流量集中實時的高級威脅檢測分析。面臨的挑戰如下：高級威脅(APT)檢測與響應系統021.項目背景互聯網暴露面大遭受攻擊量大且頻繁，攻擊阻斷成功率低，失守風險大缺乏聯動和應急響應機制，攻擊阻斷效率低無法應對0day/1-day攻擊，漏洞修復難攻擊方式多樣且檢測難度大缺乏社工釣魚、惡意文件、隱蔽信道等未知威脅檢測能力。八、騰訊SOC+實踐THE EIGHTH PA

225、RT八、騰訊SOC+實踐THE EIGHTH PART7069 通過混合多云統一安全運營中心的建設，與集團安全建設戰略規劃緊密結合，助力客戶安全戰略目標落地；實現與集團業務深度結合，幫助客戶全面掌握集團安全態勢，形成安全預警、分析、響應、處置全生命周期閉環；可視化呈現安全運營量化指標，促進總部和下屬機構的安全運營成熟度，提升安全運營團隊的安全運營能力。簡化客戶安全運維管理，幫助客戶從每天處理超過百萬的安全告警中解脫；依托智能準確的安全運營平臺，使需要人工分析的安全告警驟降到個位數；與客戶業務深度結合，幫助客戶全面掌握集團安全態勢，形成安全預警、防御、檢測、響應全生命周期閉環。3.方案價值預測通

226、過內部威脅預測、外部威脅情報等手段，進行平臺暴露面分析，監控外部威脅，實現攻擊預測、提前預防的目標；防御面對持續攻擊，降低受攻擊面，實現“攻擊減速”的目標；檢測針對集團業務系統，通過云端威脅情報中心進行7*24小時在線檢測和響應，減少威脅停留時間，及時發現并控制事件，防止事件升級；響應深度威脅分析，聯動響應與處置，并結合安全運營標準化服務對安全事件進行實時監測，對發生的重大安全事件進行回溯分析，實現及時處置、止損、追蹤溯源的目標。01020304 某大型企業的數字資產在企業商業活動起著關鍵作用。為了保護數字資產，企業在主備兩個數據中心部署了大量的安全防護產品，但仍然不時出現入侵成功的事件?，F有

227、安全防護體系無法應對高級可持續性（APT）攻擊，需要針對高級威脅攻擊檢測場景做全面覆蓋，實現大流量集中實時的高級威脅檢測分析。面臨的挑戰如下：高級威脅(APT)檢測與響應系統021.項目背景互聯網暴露面大遭受攻擊量大且頻繁，攻擊阻斷成功率低，失守風險大缺乏聯動和應急響應機制，攻擊阻斷效率低無法應對0day/1-day攻擊，漏洞修復難攻擊方式多樣且檢測難度大缺乏社工釣魚、惡意文件、隱蔽信道等未知威脅檢測能力。八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART7069 在企業兩個主備機房，通過TAP交換機將各個安全區域的流量匯聚，NDR網絡威脅檢測

228、與響應系統采用集群化部署對匯聚后的流量進行分析，實現超大流量集中實施安全分析。NDR網絡威脅檢測與響應系統配置上下級級聯，實現統一平臺管理全網安全事件，并開啟全包存儲功能，實現用戶級溯源分析需求。2.解決方案 騰訊NDR通過結合專家規則、哈勃沙箱、威脅情報、AI算法和騰訊天幕旁路阻斷器等技術，對流量進行協議解析、文件還原和全量信息存儲，發現惡意攻擊和潛在威脅，對攻擊事件進行分析、溯源和阻斷。如圖示，提供檢測、分析、取證和響應能力閉環：通過結合專家規則、哈勃沙箱、威脅情報、AI算法和騰訊天幕旁路阻斷器等技術，對流量進行協議解析、文件還原和全量信息存儲，發現惡意攻擊和潛在威脅，對攻擊事件進行分析、

229、溯源和阻斷。騰訊NDR網絡威脅檢測與響應系統，在日常運營過程中，作為唯一全網流量檢測設備，通過獨有的AI引擎、安全專題、威脅情報能力對比客戶已部署的WAF、終端安全、防火墻、蜜罐類產品提供了高級威脅檢測能力，具體實現效果：3.方案價值威脅情報溯源分析實時阻斷APT檢測文件沙箱分析安全專題異常行為發現Oday發現01深度檢測Web攻擊 漏洞攻擊:主機/服務/應用漏洞釣魚郵件攻擊 橫向滲透:越權訪問、暴力破解病毒木馬 勒索病毒:文件加密行為、橫向傳播行為APT攻擊:0Day漏洞、隱秘信道02威脅情報IOC情報精準失陷檢測 云端情報輔助分析情報補充攻擊者畫像 情報提升分析效率03溯源分析流量日志檢索

230、 深度沙箱分析告警會話還原，原始報文存儲 威脅情報溯源查詢04響應阻斷旁路無侵入式阻斷 大流量實時阻斷率99.99%提供阻斷API供第三方調用 聯動情報自動化阻斷05安全專題密碼安全：弱密碼、空密碼、明文密碼 數據泄漏：API接口泄密、數據庫拖庫勒索病毒：勒素病毒檢測、SMB行為分析 登錄行為分析：暴力破解組件安全：攻擊視角、資產視角 郵件安全：偽造、釣魚、惡意郵件攻擊IP分析：告警監控、Web訪問監控 域名解析：DNS解析、動態域名流量分析集中大流量分析，全網全態勢實時掌握流量按需抓包存儲，有效對安全事件溯源分析多級級聯部署方案，節約專線帶寬資源云端威脅情報與本地產品聯動賦能檢測分析，提升告

231、警準確度、分析研判效率八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART7271項目需求分析項目方案項目成果1、A機房和B機房50Gb大流量高級威脅分析。2、機房間專線帶寬有限，無法傳輸大數據。3、安全與網絡部門共用一套方案（分析）。4、系統檢測到的安全告警要確保準確。1、集中大流量分析，全網安全態勢實時掌握。2、多級級聯部署方案，節約專線帶寬資源。3、流量按需抓包存儲，便于事件溯源。4、騰訊自研情報和規則，確保安全告警準確。1、兩個機房部署兩套獨立的騰訊御界系統。2、每個機房采用集群化部署，實現大流量集中實時安全分析需求。3、兩套騰訊御界系統

232、配置上下級級聯，實現統一平臺查詢全網安全事件。4、騰訊御界按需開啟全包存儲功能，實現用戶溯源級網絡質量分析需求。在企業兩個主備機房，通過TAP交換機將各個安全區域的流量匯聚，NDR網絡威脅檢測與響應系統采用集群化部署對匯聚后的流量進行分析，實現超大流量集中實施安全分析。NDR網絡威脅檢測與響應系統配置上下級級聯，實現統一平臺管理全網安全事件，并開啟全包存儲功能，實現用戶級溯源分析需求。2.解決方案 騰訊NDR通過結合專家規則、哈勃沙箱、威脅情報、AI算法和騰訊天幕旁路阻斷器等技術，對流量進行協議解析、文件還原和全量信息存儲，發現惡意攻擊和潛在威脅，對攻擊事件進行分析、溯源和阻斷。如圖示，提供檢

233、測、分析、取證和響應能力閉環：通過結合專家規則、哈勃沙箱、威脅情報、AI算法和騰訊天幕旁路阻斷器等技術，對流量進行協議解析、文件還原和全量信息存儲，發現惡意攻擊和潛在威脅，對攻擊事件進行分析、溯源和阻斷。騰訊NDR網絡威脅檢測與響應系統，在日常運營過程中，作為唯一全網流量檢測設備，通過獨有的AI引擎、安全專題、威脅情報能力對比客戶已部署的WAF、終端安全、防火墻、蜜罐類產品提供了高級威脅檢測能力，具體實現效果：3.方案價值威脅情報溯源分析實時阻斷APT檢測文件沙箱分析安全專題異常行為發現Oday發現01深度檢測Web攻擊 漏洞攻擊:主機/服務/應用漏洞釣魚郵件攻擊 橫向滲透:越權訪問、暴力破解

234、病毒木馬 勒索病毒:文件加密行為、橫向傳播行為APT攻擊:0Day漏洞、隱秘信道02威脅情報IOC情報精準失陷檢測 云端情報輔助分析情報補充攻擊者畫像 情報提升分析效率03溯源分析流量日志檢索 深度沙箱分析告警會話還原，原始報文存儲 威脅情報溯源查詢04響應阻斷旁路無侵入式阻斷 大流量實時阻斷率99.99%提供阻斷API供第三方調用 聯動情報自動化阻斷05安全專題密碼安全：弱密碼、空密碼、明文密碼 數據泄漏：API接口泄密、數據庫拖庫勒索病毒：勒素病毒檢測、SMB行為分析 登錄行為分析：暴力破解組件安全：攻擊視角、資產視角 郵件安全：偽造、釣魚、惡意郵件攻擊IP分析：告警監控、Web訪問監控

235、域名解析：DNS解析、動態域名流量分析集中大流量分析，全網全態勢實時掌握流量按需抓包存儲，有效對安全事件溯源分析多級級聯部署方案，節約專線帶寬資源云端威脅情報與本地產品聯動賦能檢測分析，提升告警準確度、分析研判效率八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART7271項目需求分析項目方案項目成果1、A機房和B機房50Gb大流量高級威脅分析。2、機房間專線帶寬有限，無法傳輸大數據。3、安全與網絡部門共用一套方案（分析）。4、系統檢測到的安全告警要確保準確。1、集中大流量分析，全網安全態勢實時掌握。2、多級級聯部署方案，節約專線帶寬資源。3、流

236、量按需抓包存儲，便于事件溯源。4、騰訊自研情報和規則，確保安全告警準確。1、兩個機房部署兩套獨立的騰訊御界系統。2、每個機房采用集群化部署，實現大流量集中實時安全分析需求。3、兩套騰訊御界系統配置上下級級聯，實現統一平臺查詢全網安全事件。4、騰訊御界按需開啟全包存儲功能，實現用戶溯源級網絡質量分析需求。某金融公司是建立以研究為基礎，投資銀行、股票、財富管理和投資管理全方位發展的業務結構，致力于為客戶提供高質量金融增值服務，由于業務架構面向互聯網側的提供的業務服務范圍較廣，導致整體的資產暴露風險加劇，企業存在較多的安全盲點，容易成為攻擊者的入侵口。因此期望以情報為核心，構建主動的安全防御體系，已

237、實現安全防護的關口前置?；谇閳笈c攻擊面管理的主動防御體系031.項目背景 在公司的集團總部，利用攻擊面情報能力，面向集團的“互聯網信息系統”進行全量的清查和摸排工作，建立起集團的互聯網信息系統資產檔案；形成集團重要互聯網信息系統資產的常態化檢查機制，同時利用云端情報賦能本地安全產品的機制，滿足“重要信息系統”資產安全風險日常監控、專項安全檢查、安全事件應急處置等場景要求，實時動態的“收斂暴露面”和“阻斷風險事件”。2.解決方案借助騰訊強大的情報能力，協助用戶摸清家底和動態監控、阻斷資產風險：3.方案價值先進的攻擊面情報引擎和算法能力，協助客戶高效梳理影子資產。強大的基礎情報能力，聯動本地安全

238、產品，實現精準識別資產威脅，實時阻斷業務風險。獨創的情報云端安全能力協同。為用戶構建主動的安全防護體系，覆蓋事前（攻擊面情報測繪），事中（情報賦能檢測）、事后（情報支撐響應）。八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART7473 某金融公司是建立以研究為基礎，投資銀行、股票、財富管理和投資管理全方位發展的業務結構，致力于為客戶提供高質量金融增值服務，由于業務架構面向互聯網側的提供的業務服務范圍較廣，導致整體的資產暴露風險加劇，企業存在較多的安全盲點，容易成為攻擊者的入侵口。因此期望以情報為核心，構建主動的安全防御體系，已實現安全防護的關口

239、前置?；谇閳笈c攻擊面管理的主動防御體系031.項目背景 在公司的集團總部，利用攻擊面情報能力，面向集團的“互聯網信息系統”進行全量的清查和摸排工作，建立起集團的互聯網信息系統資產檔案；形成集團重要互聯網信息系統資產的常態化檢查機制，同時利用云端情報賦能本地安全產品的機制，滿足“重要信息系統”資產安全風險日常監控、專項安全檢查、安全事件應急處置等場景要求，實時動態的“收斂暴露面”和“阻斷風險事件”。2.解決方案借助騰訊強大的情報能力，協助用戶摸清家底和動態監控、阻斷資產風險：3.方案價值先進的攻擊面情報引擎和算法能力，協助客戶高效梳理影子資產。強大的基礎情報能力，聯動本地安全產品，實現精準識別

240、資產威脅，實時阻斷業務風險。獨創的情報云端安全能力協同。為用戶構建主動的安全防護體系，覆蓋事前（攻擊面情報測繪），事中（情報賦能檢測）、事后（情報支撐響應）。八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART7473 某集團是一家世界5500強公司，隨著業務的快速擴張，面向互聯網側開放的業務也逐步增多，這樣就導致用戶的互聯網暴露面也逐步加大，在重大攻防演練期間，整個集團的日均攻擊量1億+（主要針對集團的掃描、公眾號小程序、APP和網站），并且在某一天晚上，集團暴露在互聯網側的一個公眾號，被攻擊隊找到漏洞，直接打進集團內部。因此用戶期望構建一個情

241、報驅動、面向實戰的重保/攻防演練防護體系。重保/攻防演練防護體系041.項目背景 在集團內部，建立一個情報驅動、面向實戰的重保/攻防演練防護體系。在預測和防護階段，利用攻擊面情報能力，面向集團的“互聯網業務系統”進行全面的摸底排查，建立起集團重要互聯網業務系統資產的常態化檢查機制，主動洞察清楚影子資產，掃除安全盲點，同時利用云端情報賦能本地安全產品的機制，滿足集團“重要業務系統”實時監控和動態的防護。在檢測和響應階段，部署NDR網絡檢測和防御系統，構建高級威脅檢測和響應能力，包括：部署沙箱集群、分析平臺集群，運用AI模型、全流量分析、文件動態分析、騰訊反病毒引擎、規則引擎等，幫助企業發現高級威

242、脅攻擊事件。聯動云端威脅情報云，實時獲取第一手情報和專家知識，快速知曉最新攻擊手法，響應最新漏洞。部署“雷達+導彈”形成網絡安全事件閉環：通過部署NDR網絡威脅檢測與響應系統，對全網風險評估，覆蓋攻防演練常見的攻擊手段和異常檢測，并快速做攔截，閉環安全事件。結合威脅情報云端能力，達到一點檢測，全網聯動效果，實時感知最新漏洞和威脅。對私有云訪問互聯網的全流量檢測，覆蓋47層網絡攻擊，專項提升對掃描探測、Webshell、SQL注入、橫向移動的檢測效果，支持私有云租戶級威脅定位，并且具備攻擊溯源的能力，可以還原整個攻擊過程，形成調查報告?；贏I檢測模型、全流量分析、文件動態分析，NDR網絡威脅檢

243、測與響應系統具備幫助企業發現0day漏洞及變種攻擊手法的能力。旁路部署，不影響業務架構。提供開放API，可供第三方產品調用阻斷能力。2.解決方案八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART7675 某集團是一家世界5500強公司，隨著業務的快速擴張，面向互聯網側開放的業務也逐步增多，這樣就導致用戶的互聯網暴露面也逐步加大，在重大攻防演練期間，整個集團的日均攻擊量1億+（主要針對集團的掃描、公眾號小程序、APP和網站），并且在某一天晚上，集團暴露在互聯網側的一個公眾號，被攻擊隊找到漏洞，直接打進集團內部。因此用戶期望構建一個情報驅動、面向實

244、戰的重保/攻防演練防護體系。重保/攻防演練防護體系041.項目背景 在集團內部，建立一個情報驅動、面向實戰的重保/攻防演練防護體系。在預測和防護階段，利用攻擊面情報能力，面向集團的“互聯網業務系統”進行全面的摸底排查，建立起集團重要互聯網業務系統資產的常態化檢查機制，主動洞察清楚影子資產，掃除安全盲點，同時利用云端情報賦能本地安全產品的機制，滿足集團“重要業務系統”實時監控和動態的防護。在檢測和響應階段，部署NDR網絡檢測和防御系統，構建高級威脅檢測和響應能力，包括：部署沙箱集群、分析平臺集群，運用AI模型、全流量分析、文件動態分析、騰訊反病毒引擎、規則引擎等，幫助企業發現高級威脅攻擊事件。聯

245、動云端威脅情報云，實時獲取第一手情報和專家知識，快速知曉最新攻擊手法，響應最新漏洞。部署“雷達+導彈”形成網絡安全事件閉環：通過部署NDR網絡威脅檢測與響應系統，對全網風險評估，覆蓋攻防演練常見的攻擊手段和異常檢測，并快速做攔截，閉環安全事件。結合威脅情報云端能力，達到一點檢測，全網聯動效果，實時感知最新漏洞和威脅。對私有云訪問互聯網的全流量檢測，覆蓋47層網絡攻擊，專項提升對掃描探測、Webshell、SQL注入、橫向移動的檢測效果，支持私有云租戶級威脅定位，并且具備攻擊溯源的能力，可以還原整個攻擊過程，形成調查報告?；贏I檢測模型、全流量分析、文件動態分析，NDR網絡威脅檢測與響應系統具

246、備幫助企業發現0day漏洞及變種攻擊手法的能力。旁路部署，不影響業務架構。提供開放API，可供第三方產品調用阻斷能力。2.解決方案八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART7675 方案覆蓋預測、防御、檢測和響應等實戰對抗全流程。在事前預測和防御階段，借助騰訊強大的情報能力，協助用戶摸清家底和動態監控、阻斷資產風險：在檢測和響應階段，借助NDR網絡威脅檢測與響應系統，在重保/攻防演練場景下漏洞攻擊檢出率、攻防實戰檢出率90%以上：3.方案價值以外部攻擊者的視角對企業業務的攻擊面進行持續性檢測、分析和研判，從而主動洞察企業的資產暴露面的安

247、全威脅獨創的情報云端安全能力協同。為用戶構建主動的安全防護體系，覆蓋事前（攻擊面情報測繪），事中（情報賦能檢測）、事后（情報支撐響應）結合最前沿的情報數據和運營技術能力，為用戶的日常運營提供豐富的情報標簽和上下文信息，協助用戶高效地進行威脅的研判分析和溯源處置。0day檢測獨報能力強：針對重保/攻防演練期間爆發的0day攻擊，產生對應告警，其他安全檢測設備均無檢出。發現未知威脅并及時處置：發現釣魚郵件及惡意文件，幫助企業定位影響范圍，并主動攔截惡意外連地址；AI模型檢測發現隱秘隧道傳輸行為，及時告警并切斷惡意通信。規則及時更新響應快：重保/攻防演練期間，每日更新規則庫，及時響應高危漏洞和0da

248、y風險；發布百萬條專項IOC威脅情報，聯動產品快速精準檢測和定位威脅。阻斷秒級生效防護強：日均抵擋上億次攻擊無遺漏過，多種阻斷方式靈活適配阻斷規則，自定義阻斷策略可自動化聯動處置。八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART7877 方案覆蓋預測、防御、檢測和響應等實戰對抗全流程。在事前預測和防御階段，借助騰訊強大的情報能力，協助用戶摸清家底和動態監控、阻斷資產風險：在檢測和響應階段，借助NDR網絡威脅檢測與響應系統，在重保/攻防演練場景下漏洞攻擊檢出率、攻防實戰檢出率90%以上：3.方案價值以外部攻擊者的視角對企業業務的攻擊面進行持續性

249、檢測、分析和研判，從而主動洞察企業的資產暴露面的安全威脅獨創的情報云端安全能力協同。為用戶構建主動的安全防護體系，覆蓋事前（攻擊面情報測繪），事中（情報賦能檢測）、事后（情報支撐響應）結合最前沿的情報數據和運營技術能力，為用戶的日常運營提供豐富的情報標簽和上下文信息，協助用戶高效地進行威脅的研判分析和溯源處置。0day檢測獨報能力強：針對重保/攻防演練期間爆發的0day攻擊，產生對應告警，其他安全檢測設備均無檢出。發現未知威脅并及時處置：發現釣魚郵件及惡意文件，幫助企業定位影響范圍，并主動攔截惡意外連地址；AI模型檢測發現隱秘隧道傳輸行為，及時告警并切斷惡意通信。規則及時更新響應快：重保/攻防

250、演練期間，每日更新規則庫，及時響應高危漏洞和0day風險；發布百萬條專項IOC威脅情報，聯動產品快速精準檢測和定位威脅。阻斷秒級生效防護強：日均抵擋上億次攻擊無遺漏過，多種阻斷方式靈活適配阻斷規則，自定義阻斷策略可自動化聯動處置。八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART7877 隨著疫情的蔓延，某金融公司移動辦公成為常態。網絡安全邊界外延擴大，整個網絡安全環境變得復雜。隨之外部高級威脅和社工攻擊頻繁發生，內部風險和威脅卻無法發現和閉環。急需建設移動辦公場景下的內部風險感知能力。具體問題體現在：內部違規與用戶行為異常檢測項目051.項目

251、背景 復雜的攻擊手法、網絡邊界模糊，讓傳統的安全防護措施失效?；赟OC安全運營平臺的大數據能力和AI能力，采集安全告警日志、用戶日志、訪問日志和行為日志，構建內部威脅管理系統：2.解決方案內部賬號多、人員雜，百萬級賬號和用戶涉及總/子公司、合作伙伴、已退休人員等用戶難以標識，郵箱、鑒權、訪問使用不同的賬號體系，有在野賬號無歸屬用戶風險感知難下手，日志量、用戶量大，規則閾值難確定，風險告警量大，難以保障運營效果010203基于規則、畫像和AI三大引擎，從場景上覆蓋已知威脅，聚焦行為風險利用風險量化算法，為用戶和實體進行風險量化通過風險時間線展示風險內容和風險發生時間由安全分析人員確認風險，持續

252、策略優化八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART8079 隨著疫情的蔓延，某金融公司移動辦公成為常態。網絡安全邊界外延擴大，整個網絡安全環境變得復雜。隨之外部高級威脅和社工攻擊頻繁發生，內部風險和威脅卻無法發現和閉環。急需建設移動辦公場景下的內部風險感知能力。具體問題體現在：內部違規與用戶行為異常檢測項目051.項目背景 復雜的攻擊手法、網絡邊界模糊，讓傳統的安全防護措施失效?；赟OC安全運營平臺的大數據能力和AI能力，采集安全告警日志、用戶日志、訪問日志和行為日志，構建內部威脅管理系統：2.解決方案內部賬號多、人員雜，百萬級賬號和

253、用戶涉及總/子公司、合作伙伴、已退休人員等用戶難以標識，郵箱、鑒權、訪問使用不同的賬號體系，有在野賬號無歸屬用戶風險感知難下手，日志量、用戶量大，規則閾值難確定，風險告警量大，難以保障運營效果010203基于規則、畫像和AI三大引擎，從場景上覆蓋已知威脅，聚焦行為風險利用風險量化算法，為用戶和實體進行風險量化通過風險時間線展示風險內容和風險發生時間由安全分析人員確認風險，持續策略優化八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART8079 通過內部威脅管理系統，發現內網威脅和違規的風險。幫客戶做了內部威脅數據洞察，客戶更清楚自己的環境風險。輸

254、出具體的違規行為，及關聯到的組織，更好的幫助安全團隊做安全管理。對客戶關注的內部數據泄露的風險，做了針對性的場景補充。覆蓋以下六大場景：3.方案價值遠程接入當員工不受物理位置約束（不需要刷門禁卡）就能進入內網，企業將不知道具體是誰在用這個賬號。包括：新設備登錄 異常時間登錄登錄地點偏離習慣 訪問頻率異常內網滲透威脅可能長期潛伏，并以內部資產為跳板，不斷擴大權限。包括：偽造kerberos票證 域策略異常修改非常用的認證方式 用戶組策略更改內部破壞內部人員惡意進行數據刪除、配置、更改、傳播惡意文件等操作。包括：更改系統配置 對內發送釣魚郵件內部惡意文件傳遞 敏感數據刪除內部違規內部人員有意或無意

255、的進行違規操作，例如賬號共享、私搭隧道。包括：賬號憑據違規共享 堡壘機繞過登錄私搭網絡隧道 安裝違規軟件數據收集內部人員利用職務便利，進行隱蔽的數據收集，例如客戶數據、知識產權等。包括：敏感系統頻繁查詢 跨系統大量查詢內部數據爬 數據文件大量下載數據泄露內部人員將敏感數據進行外發以謀取利益。包括：數據大量外發 數據低頻外發離職人員導出 數據違規共享八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART8281 通過內部威脅管理系統，發現內網威脅和違規的風險。幫客戶做了內部威脅數據洞察，客戶更清楚自己的環境風險。輸出具體的違規行為，及關聯到的組織，更

256、好的幫助安全團隊做安全管理。對客戶關注的內部數據泄露的風險，做了針對性的場景補充。覆蓋以下六大場景：3.方案價值遠程接入當員工不受物理位置約束（不需要刷門禁卡）就能進入內網，企業將不知道具體是誰在用這個賬號。包括：新設備登錄 異常時間登錄登錄地點偏離習慣 訪問頻率異常內網滲透威脅可能長期潛伏，并以內部資產為跳板，不斷擴大權限。包括：偽造kerberos票證 域策略異常修改非常用的認證方式 用戶組策略更改內部破壞內部人員惡意進行數據刪除、配置、更改、傳播惡意文件等操作。包括：更改系統配置 對內發送釣魚郵件內部惡意文件傳遞 敏感數據刪除內部違規內部人員有意或無意的進行違規操作，例如賬號共享、私搭隧

257、道。包括：賬號憑據違規共享 堡壘機繞過登錄私搭網絡隧道 安裝違規軟件數據收集內部人員利用職務便利，進行隱蔽的數據收集，例如客戶數據、知識產權等。包括：敏感系統頻繁查詢 跨系統大量查詢內部數據爬 數據文件大量下載數據泄露內部人員將敏感數據進行外發以謀取利益。包括：數據大量外發 數據低頻外發離職人員導出 數據違規共享八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART8281 隨著網絡安全事件層出不窮，網絡安全風險激增，以及網絡安全法規趨嚴，越來越多企業計劃加大安全人員的招聘以彌補當前安全投入不足引發的安全風險。安全風險激增和網絡安全人才短缺的矛盾越

258、來越尖銳。企業在安全建設不足、安全人力招聘困難的情況下存在以下安全問題：安全服務托管MSSP平臺061.項目背景缺乏全天候的網絡安全檢測01對安全威脅的響應速度慢02網絡安全技能欠缺，專業能力不足03安全運營成本較高，無法組建完善的安全團隊04 為了應對安全效果和人才短缺的矛盾，很多企業轉向依托專業安全運營服務團隊，尋求安全托管服務。為了支持安全運營服務團隊提供集中安全托管服務，滿足被服務企業的統一安全運營管理的需求，騰訊安全為某安全運營服務團隊搭建MSSP平臺，將安全運營服務MDR標準化落地，實現以租戶形式為接入MSSP平臺的企業提供安全托管服務，實現以下安全效果：2.解決方案使用騰訊公有云

259、PaaS資源搭建MSSP平臺，實現SaaS化交付MSSP平臺，MSSP平臺可靈活的部署、擴容基于安全工單和自動化響應在MSSP平臺內對告警進行處置和流轉，例如：并通過通知策略，通知租戶高危告警事件MSSP平臺接入租戶數據，包括日志、告警，進行全局統一管理MSSP平臺提供全局視角和租戶視角查看告警、日志和處置的工單，并具備靈活的擴展性，滿足安全能力持續迭代八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART8483 隨著網絡安全事件層出不窮，網絡安全風險激增，以及網絡安全法規趨嚴，越來越多企業計劃加大安全人員的招聘以彌補當前安全投入不足引發的安全風

260、險。安全風險激增和網絡安全人才短缺的矛盾越來越尖銳。企業在安全建設不足、安全人力招聘困難的情況下存在以下安全問題：安全服務托管MSSP平臺061.項目背景缺乏全天候的網絡安全檢測01對安全威脅的響應速度慢02網絡安全技能欠缺，專業能力不足03安全運營成本較高，無法組建完善的安全團隊04 為了應對安全效果和人才短缺的矛盾，很多企業轉向依托專業安全運營服務團隊，尋求安全托管服務。為了支持安全運營服務團隊提供集中安全托管服務，滿足被服務企業的統一安全運營管理的需求，騰訊安全為某安全運營服務團隊搭建MSSP平臺，將安全運營服務MDR標準化落地，實現以租戶形式為接入MSSP平臺的企業提供安全托管服務，實

261、現以下安全效果：2.解決方案使用騰訊公有云PaaS資源搭建MSSP平臺，實現SaaS化交付MSSP平臺，MSSP平臺可靈活的部署、擴容基于安全工單和自動化響應在MSSP平臺內對告警進行處置和流轉，例如：并通過通知策略，通知租戶高危告警事件MSSP平臺接入租戶數據，包括日志、告警，進行全局統一管理MSSP平臺提供全局視角和租戶視角查看告警、日志和處置的工單，并具備靈活的擴展性，滿足安全能力持續迭代八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART8483 幫助安全運營服務團隊以服務化、輕資產的模式為搭建MSSP平臺的企業提供安全運營服務。云端安服專家以租戶形式為接入MSSP平臺的企業進行持續的安全監測及處置；定期進行安全評估并生成安全運營報告，評估安全風險及給出修復意見。方案價值如下：提供專業的全流程安全工具，包括高級威脅分析、威脅情報、溯源取證攻擊等結合人力專業知識，以快速的識別和處置威脅。強大的工具支撐借助騰訊威脅情報云端能力，支撐預測、防御、檢測和響應打造安全生命周期的能力閉環。云端能力威脅情報支持有明確、清晰的服務清單，可評估服務交付質量，以及可直觀呈現的服務交付效果。效果可量化的服務內容3.方案價值八、騰訊SOC+實踐THE EIGHTH PART八、騰訊SOC+實踐THE EIGHTH PART8685