《安全牛：智能化安全運營中心應用指南（2025版）（135頁）.pdf》由會員分享，可在線閱讀，更多相關《安全牛：智能化安全運營中心應用指南（2025版）（135頁）.pdf（135頁珍藏版）》請在三個皮匠報告上搜索。

1、版權聲明本報告為北京谷安天下科技有限公司（以下簡稱“本公司”）旗下媒體平臺安全牛研究撰寫，報告中所有文字、圖片、表格均受有關商標和著作權的法律保護，部分文字和數據采集于公開信息，所有權為原著者所有。未經本公司書面許可，任何組織和個人不得將本報告內容作為訴訟、仲裁、傳媒所引用之證明或依據，不得用于營利或用于未經允許的其他用途。任何未經授權的商業性使用本報告的行為均違反中華人民共和國著作權法及其他相關法律法規、國際條約。未經授權或違法使用者需自行承擔由此引發的一切法律后果及相關責任，本公司將依法追究。免責聲明本報告僅供本公司的客戶或公司許可的特定用戶使用。本公司不會因接收人收到本報告而視其為本公司

2、的當然客戶。任何非本公司發布的有關本報告的摘要或節選都不代表本報告正式完整的觀點，一切須以本公司發布的本報告完整版本為準。本報告中的行業數據主要為分析師市場調研、行業訪談及其他研究方法估算得來，僅供參考。因調研方法及樣本、調查資料收集范圍等的限制，本報告中的數據僅服務于當前報告。本公司以勤勉的態度、專業的研究方法，使用合法合規的信息，獨立、客觀地出具本報告，但不保證數據的準確性和完整性，本公司不對本報告的數據和觀點承擔任何法律責任。同時，本公司不保證本報告中的觀點或陳述不會發生任何變更。在不同時期，本公司可發出與本報告所載資料、意見及推測不一致的報告。本報告所包含的信息及觀點不構成任何形式的投

3、資建議或其他行為指引，亦未考慮特定用戶的個性化需求或投資目標。用戶應結合自身實際情況獨立判斷報告內容的適用性，必要時應尋求專業顧問意見。報告中涉及的評論、預測、圖表、指標、理論等內容僅供市場參與者及用戶參考，用戶需對其自主決策行為負責。本公司不對因使用本報告全部或部分內容所產生的任何直接、間接、特殊及后果性損失承擔任何責任，亦不對因資料不完整、不準確或存在任何重大遺漏所導致的任何損失負責。關鍵發現.4引言.6第一章 背景概述1.1 當前網絡安全威脅的趨勢.81.2 網絡安全政策法規要求.91.3 傳統 SOC 的挑戰.12第二章 ISOC 概念和能力2.1SOC 的升級演變.142.2ISOC

4、 的理念.162.3ISOC 的能力框架.182.4ISOC 的必要性.19第三章 ISOC 的關鍵技術3.1ISOC 的工作原理和發展.223.2ISOC 的技術架構.243.3ISOC 的基礎技術.253.4ISOC 的智能核心（AI 智能體）.30第四章 ISOC 的典型應用場景contents目錄4.1 風險識別.344.2 威脅檢測與研判.374.3 事件響應.414.4 運營管理.444.5 知識問答和專家輔助.47第五章 國內外 ISOC 發展現狀5.1 國外 ISOC 應用現狀.495.2 國內 ISOC 市場應用現狀.545.3 國內技術和應用現狀.57第六章 ISOC 的建

5、設指南6.1 能力成熟度模型.716.2 組織的 ISOC 建設原則.746.3 不同成熟度組織的 ISOC 建設方案.766.3.1 初始級升級到管理級.766.3.2 管理級升級到自動化級.786.3.3 自動化級升級為智能輔助級.826.3.4 智能輔助級升級為自主級.876.4 中小型組織 ISOC 建設方案.896.5 ISOC 在各行業的解決方案.896.6 常見實施問題和建議.93第七章 ISOC 優秀案例研究（按廠商首字母排序）7.1 典型案例一 某金融機構安全運營平臺升級案例（綠盟科技提供）.977.2 典型案例二 某省級應急管理廳安全運營平臺建設案例（奇安信提供）.1007

6、.3 典型案例三 某省電力公司安全運營建設案例（亞信安全提供）.1037.4 典型案例四 某能源頭部企業一體化網絡安全監管平臺（神州泰岳提供）.1077.5 典型案例五 某電網公司智能安全運營解決方案（碳澤提供）.110第八章 推薦廠商（按廠商首字母排序）推薦廠商綠盟科技.112推薦廠商奇安信.114推薦廠商神州泰岳.118推薦廠商碳澤.120推薦廠商亞信安全.121第九章 挑戰與未來9.1 目前面臨的挑戰.1259.2 未來發展.1284智能化安全運營（智能化安全運營（ISOCISOC）已成為企業提升安全能力的必然選擇。）已成為企業提升安全能力的必然選擇。國內市場需求強勁。據安全牛 2025

7、 年調研顯示，國內多數組織（90%）對 ISOC 的未來發展持樂觀態度，目前已有 39%的組織正在開展或測試 ISOC的實施，尚未實施的組織中，49%的組織計劃在一年內進行相關采購，ISOC 市場擁有巨大的增長潛力。廠商格局多元化廠商格局多元化，生態合作趨勢顯現生態合作趨勢顯現。ISOC 市場參與者包括綜合安全廠商、SOAR/XDR 廠商、云服務商、運營商、AI 創新公司等，市場競爭激烈。由于技術復雜性和數據需求，單一廠商難以提供完整的解決方案，未來技術合作、產品集成、威脅情報共享等生態合作模式將成為主流趨勢。AIAI 技術深度賦能技術深度賦能，應用百場景花齊放應用百場景花齊放。AI 技術正深

8、度滲透并占領安全運營的各個環節，從風險識別、威脅檢測、事件分析、響應到安全管理和報告生成。國內安全廠商積極探索 AI 在不同場景的應用創新，利用大語言模型（LLM）和 AI Agent 等技術，在智能問答、告警降噪、威脅情報分析、自動化響應、報告生成等方面取得了初步成果，呈現百花齊放的態勢。智能化降本增效應用效果初見成效智能化降本增效應用效果初見成效。ISOC 的應用已在國內多個案例中開展取得顯著成效。部分案例實現告警降噪能力大幅提升（部分案例降噪率80%）、告警準確率提升（部分案例提高80%）、安全事件分析效率顯著提高（部分場景提升80%）、事件響應時效大幅加強（縮短至分鐘級甚至秒級）、數據

9、分類分級能力顯著提升（部分案例識別準確率90%）、安全事件處理效率大幅提高（部分案例單日工作成果提升數倍）、運營管理成本下降（部分場景成本節約50%）?！按竽Ｐ痛竽Ｐ?基礎基礎 AIAI 技術技術”混合架構成為主流?；旌霞軜嫵蔀橹髁?。為兼顧通用知識推理能力與特定安全任務的專業性和效率，國內普遍采用“大模型+基礎 AI 技術”的混合 AI 架構。大模型（如 LLM）擅長自然語言交互、復雜推理、知識問答和生成全局視角和智能輔助；基礎 AI 技術（基于機器學習/深度學習）則側重于具體的威脅檢測、異常識別等任務，提供快速、準確的執行能力。兩者協同工作，實現優勢互補，成為當前 ISOC 建設的主流技術路

10、線。AIAI AgentAgent 是關鍵發展方向，但尚處于初步階段。是關鍵發展方向，但尚處于初步階段。AI Agent 具備自主決策、認知、行動、學習的能力，在自動化響應、智能分析、主動防御等方面潛力巨大。國內廠商已開始探索 AI Agent 在告警關聯、溯源調查、事件響應造成等場景的應用。但是基于數據分析的主動威脅防御能力的高質量 AI Agent 在國內安全運營中心的應用仍在早期研究和實驗階段，技術成熟度、數據質量、可解釋性和可信度有待提升。人機協同是核心運營模式。人機協同是核心運營模式。ISOC 并非旨在完全取代人工，而是強調 AI 與安全分析師的協同工作。AI 負責關鍵發現5重復可自

11、動完成的任務，分析師則專注于復雜決策、威脅研判、策略制定和 AI 監督與訓練。安全分析師的角色正經歷從“傳統分析工程師”向“AI 訓練師”和“AI 監督員”轉變，需要具備新的知識和技能，人機之間的信任和有效交互是 ISOC 成功的關鍵。安全運營自動化水平邁向新的高度安全運營自動化水平邁向新的高度：在 AI Agent 和 SOAR 平臺的雙重驅動下，安全運營自動化正從基于規則的機械式自動化向智能自動化、認知自動化方向推進，并能夠覆蓋更廣泛的安全運營流程，并實現更智能、靈活的響應。數據驅動理念深化，數據治理成為關鍵。數據驅動理念深化，數據治理成為關鍵。數據是人工智能和自動化的基礎，構建安全數據湖

12、、加強數據治理（包括數據清洗、標準化、標注、安全與隱私保護等）成為 ISOC 建設的關鍵環節，以確保為標準化分析提供高質量的數據支撐。云化與云化與 SaaSSaaS 化加速智能化安全運營普及?；铀僦悄芑踩\營普及。為降低成本、提高靈活性和解決人才需求，越來越多的企業選擇云化或 SaaS 化的 ISOC 解決方案。云原生 ISOC 和 AI 賦能的安全托管服務（MSSP）成為市場的重要增長點。量化管理成為核心訴求。量化管理成為核心訴求。安全運營正從定性方向定量，建立與業務目標一致的、可測量的指標體系，并通過 AI 進行分析和優化。以直觀的安全運營效果驅動決策并展示價值，成為 ISOC 建設的

13、重要目標。ISOCISOC 落地仍面臨一定挑戰落地仍面臨一定挑戰。國內 ISOC 的普及仍面臨一定的挑戰，主要包括人工智能模型的準確性與誤報率、數據質量、系統集成復雜度、人工智能可解釋性與可信度、復合人才缺乏、建設與運維成本以及安全運營流程的調整等。實施策略應聚焦小場景，小步快跑是關鍵。實施策略應聚焦小場景，小步快跑是關鍵。成功的 ISOC 建設需要明確的業務目標，從解決實際痛點的小場景入手，采用分階段、迭代式的方法，快速驗證效果，逐步擴大應用范圍，并重視數據治理和人才培養。6在全球數字化轉型的浪潮中，云計算、大數據、人工智能、物聯網等新興技術正深刻重塑著企業的運營模式和商業格局。這場變革在釋

14、放巨大潛力的同時，也帶來了前所未有的網絡安全挑戰。企業的 IT 環境日益復雜化，云服務與物聯網設備的廣泛應用使傳統網絡邊界模糊，擴大了攻擊面。與此同時，網絡攻擊手段不斷升級，高級持續性威脅（APT）、零日漏洞利用、勒索軟件攻擊以及大規模數據泄露事件頻發，攻擊目標更明確，破壞性更強。數據作為核心資產，其安全風險尤為突出，數據泄露、濫用等事件不僅造成嚴重的經濟損失，并引發嚴重的聲譽危機。與此同時，全球范圍內對網絡安全和數據保護的監管日趨嚴格，國內的中華人民共和國網絡安全法 中華人民共和國數據安全法 中華人民共和國個人信息保護法等法律法規，以及歐盟的通用數據保護條例（GDPR）等法規標準，都對企業提

15、出了更高的合規要求。面對這些嚴峻挑戰，傳統的安全運營中心（SOC）表現出一定的局限性。傳統 SOC 主要依賴人工分析和基于規則的檢測方法，在應對當前復雜多變的網絡安全威脅時，面臨諸多瓶頸：海量告警數據中無法發現真正威脅，并導致“告警疲勞”；安全事件的分析和響應主要依賴人工，效率低下且響應速度慢；各類安全設備和系統之間缺乏有效集成，形成“數據孤島”，難以共享信息、協同防御；同時，傳統 SOC 往往缺乏主動發現潛在威脅和預測風險的能力。為了有效應對這些挑戰，智能化安全運營中心（ISOC）應運而生。ISOC 并非對傳統 SOC 的簡單替代，而是其全面的智能化升級和能力增強。ISOC 以數據驅動和 A

16、I 賦能為核心，深度融合人工智能（特別是大語言模型、AI 智能體等先進技術）、大數據分析、安全編排與自動化（SOAR）等技術，并強調人機協同的運營模式。其目標是實現對安全威脅的更高效、更準確、更主動、更智能的檢測、分析、響應和預防，致力于構建一個能夠全面感知安全態勢、智能分析研判威脅、自動化響應處置事件、持續學習優化提升、人機協同高效運營，并最終實現自適應安全防御的智能化安全運營體系。ISOC 的建設能夠為企業帶來多方面的價值提升。它通過 AI 技術顯著增強威脅檢測能力，有效識別未知威脅、高級威脅和異常行為，降低誤報和漏報。在事件分析方面，ISOC 能夠自動化進行事件關聯、根本原因分析、攻擊路

17、徑還原，提供更深入、更全面的調查視角。借助 SOAR 平臺和 AI Agent，可以實現自動化響應，大幅縮短應急響應時間。此外，ISOC 利用威脅情報和 AI 預測技術，實現從被動響應向主動防御的轉變，并根據威脅態勢動態調整防御策略。同時，基于 AI 的風險評估和策略優化建議，以及自動化安全報告，ISOC 支持更科學的數據驅動決策。最終，通過人機協同，AI 成為安全分析師的得力助手，將其從繁瑣的基礎工作中解放出來，專注于更復雜、更有價值的安全任務。引言7目前，國內 ISOC 的發展正處于起步加速階段。政策支持、市場需求、技術進步等多重因素共同推動著 ISOC的發展。金融、運營商、政府、能源等行

18、業已成為 ISOC 應用的先行者。國內安全廠商亦紛紛布局 ISOC 領域，并推出了一系列 AI 賦能的安全運營產品和解決方案。展望未來，ISOC 將朝著 AI 深度賦能、自動化水平持續提升、數據驅動體系完善、應用場景擴展深化、人機協同模式優化、平臺開放集成、云化與 SaaS 化加速、運營指標化管理、生態合作深化、安全效果可驗證以及信創與國產化等方向持續演進。本報告旨在為國內企業提供一份全面、深入、實用的 ISOC 建設和應用指南。報告將首先概述 ISOC 的基本概念、發展歷程、核心價值，分析當前網絡安全形勢，闡明 ISOC 建設的必要性。隨后，報告將詳細介紹 ISOC的關鍵技術，如 AI 智能

19、體、大數據分析、SOAR 等，并深入探討 AI Agent 技術在 ISOC 中的應用。在此基礎上，本報告將指導企業如何規劃、設計、構建和運營 ISOC，分析 ISOC 在國內各行業的應用案例，評估并推薦優秀的國內 ISOC 市場的主要參與者。最后，本報告將展望 ISOC 未來的發展方向和挑戰。通過本報告，我們希望能夠幫助企業更好地理解、規劃、落地和應用 ISOC 技術，顯著提升安全運營能力，共同構建更加安全、智能的網絡空間。第一章 背景概述8第一章第一章 背景概述背景概述當今全球企業正以前所未有的速度擁抱數字化轉型，云計算、大數據、人工智能、物聯網等新興技術蓬勃發展，深刻地重塑著各行各業的生

20、產方式、運營模式和商業價值鏈。這場深刻的變革在帶來巨大發展機遇的同時，也伴隨著日益嚴峻且復雜多變的網絡安全挑戰。企業的 IT 環境變得空前復雜，云服務、移動辦公、物聯網設備等的廣泛應用使得傳統網絡邊界日益模糊，攻擊面顯著擴大。與此同時，網絡攻擊技術和工具也在持續升級，高級持續性威脅（APT）攻擊已成為常態，勒索軟件攻擊持續演變且破壞性增強，針對關鍵基礎設施和供應鏈的攻擊日益增多，數據泄露事件頻發，不僅給企業造成巨大的經濟損失，更嚴重損害企業聲譽和客戶信任。在此背景下，全球各國政府和監管機構對網絡安全和數據保護的重視程度不斷提高，紛紛出臺并完善相關法律法規和行業標準，例如中國的中華人民共和國網絡

21、安全法中華人民共和國數據安全法中華人民共和國個人信息保護法等法律法規，以及歐盟的 GDPR 等，使得企業面臨著日益嚴格的合規壓力。1.11.1當前網絡安全威脅的趨勢當前網絡安全威脅的趨勢當前網絡安全領域正面臨多重嚴峻挑戰，其威脅趨勢呈現出高級化、廣泛化、智能化和產業化等特點，對傳統的安全防御體系提出了嚴峻考驗，迫使組織必須構建更加主動、智能和自適應的安全防御體系。當前網絡安全威脅的趨勢1.1.11.1.1 網絡安全威脅高級化、廣泛化網絡安全威脅高級化、廣泛化網絡安全威脅的形態日趨高級化和廣泛化。高級持續性威脅（APT）攻擊已成為常態，越來越多的組織，特別是政府部門、金融機構、高科技企業和關鍵基

22、礎設施，都成為 APT 的攻擊目標，這些網絡威脅具有明確目標、長期潛伏、技術先進的專業攻擊組織等特點。這些攻擊往往悄無聲息地竊取核心機密或破壞關鍵系統，造成難以估量的損失。同時，攻擊范圍已從傳統的 IT 基礎設施，擴展到更為脆弱的云計算環境、物聯網（IoT）設備和工業控制系統（ICS）等新興領域，云環境的復雜性、物聯網設備的多樣性和防護薄弱、工控系統的特殊性都為攻擊者提供了新的攻擊向量和更多的攻擊面。第一章 背景概述91.1.21.1.2 攻擊威脅技術和工具持續升級攻擊威脅技術和工具持續升級攻擊威脅技術和工具持續升級，呈現更加智能化和高效趨勢。AI 技術的快速發展被攻擊者利用，生成式 AI和自

23、動化工具被用于快速生成復雜且高度個性化的攻擊載荷，例如仿真度極高的釣魚郵件、能夠規避檢測的多態惡意軟件以及用于社會工程學攻擊的深度偽造音視頻。這使得攻擊的規模更大、速度更快，并且更能繞過傳統的安全防護措施。勒索軟件攻擊持續演變，從簡單的文件加密發展到數據竊取、威脅公開的雙重甚至三重勒索策略，結合勒索軟件即服務（RaaS）模式，攻擊門檻不斷降低。供應鏈攻擊也日益猖獗，攻擊者利用供應鏈中的薄弱環節進行滲透，影響范圍廣、破壞力巨大，且難以被及時發現。1.1.31.1.3 網絡環境復雜，范圍邊界模糊網絡環境復雜，范圍邊界模糊隨著組織數字化轉型的不斷深化，企業 IT 環境日益復雜，網絡邊界愈發模糊。同時

24、，數字化轉型的深入和新技術的廣泛應用，越來越多的組織紛紛將業務遷移到云端，使得企業的 IT 環境規模和復雜性迅速增加，傳統基于邊界的安全防護理念失效。海量的安全數據（包括日志、流量、終端行為、用戶行為等）從各種異構的設備和系統中涌現，遠超人工分析能力。特別是云計算的普及和物聯網設備的大規模應用，產生了新的數據源和安全風險，對安全數據的有效收集、處理和分析提出了更高要求。1.1.41.1.4 威脅事件頻發，安全形勢嚴峻威脅事件頻發，安全形勢嚴峻國內網絡安全事件頻發，安全形勢依然嚴峻。近年國內網絡安全事件頻發，給企業和組織帶來了巨大的經濟損失和嚴重的社會影響，甚至引發法律糾紛和監管處罰。這些安全事

25、件使企業意識到必須持續提升網絡安全防護能力。例如，2022 年 6 月 22 日，國內某大學遭受境外網絡攻擊。經調查，攻擊源頭被鎖定為美國某組織，該組織使用 41 種專屬網絡攻擊武器，對西北工業大學發起上千次攻擊，竊取超過 140GB 的高價值數據，包括關鍵網絡設備配置、網管數據和運維數據等。攻擊過程中，該組織還非法滲透中國境內電信基礎設施，構建遠程訪問“合法”通道，竊取用戶隱私數據。例如，2020 年 2 月 23 日，國內某集團研發中心運維部核心運維人員因個人生活不滿等原因，通過 VPN 登錄公司服務器，刪除線上業務數據。該事件導致該集團 SaaS 業務癱瘓，300 萬商戶受影響，公司直接

26、經濟損失達 2260 余萬元。賀某最終被判處有期徒刑六年。1.21.2網絡安全政策法規要求網絡安全政策法規要求面對日益嚴峻的網絡安全形勢，全球各國政府和監管機構都在不斷完善網絡安全相關的法律法規、標準和政策，對企業的安全運營能力提出了更高的要求，這也成為推動 ISOC 發展的重要外部驅動力，推動組織提升安全運營中心的安全事件檢測、響應和執行能力、主動防御和智能化等能力。第一章 背景概述10網絡安全法律法規和政策要求1.2.11.2.1 國際網絡安全政策法規要求與安全運營的發展國際網絡安全政策法規要求與安全運營的發展近年來，各國對網絡安全的重視程度不斷提高，各國紛紛出臺一系列網絡安全法律法規、監

27、管要求和政策，這些都對安全運營的發展起到重要的推動作用。歐盟通用數據保護條例（GDPR）：GDPR 對個人數據的收集、處理、存儲和泄露提出嚴格的要求，要求組織采取必要的技術和組織措施來保護個人數據的安全，GDPR 推動組織對數據安全和隱私保護的重視。同時，GDPR 要求組織在發生數據泄露事件后及時通知監管機構和出行人員，這也推動組織加強安全事件的檢測和響應能力，而這也是 ISOC 的核心能力之一。美國國家網絡戰略：國家網絡戰略要求將提升國家網絡安全能力作為重要目標，強化加強網絡安全信息共享、公私合作、主動防御等，該戰略推動美國和組織加強安全運營中心的建設，并積極采用威脅情報、自動化安全響應等先

28、進技術，提升安全運營的效率和效果。ISOC 的建設與該戰略的目標高度契合。美國國防授權法案（NDAA）：對美國的網絡安全能力建設提出明確的要求，包括提升網絡安全設備、威脅情報分析、安全事件響應等能力。NDAA 推動美國加強安全運營中心的建設，并積極采用人工智能、大數據分析等先進技術，提升安全運營的智能化水平。ISO27000 中要求應確?？焖?、有效、一致和有序地響應信息安全事件，確保對信息安全事件進行有效分類和優先排序，并確保高效、有效地應對信息安全事件，以及減少未來事件的可能性或后果。1.2.21.2.2 國內網絡安全政策法規要求與安全運營的發展國內網絡安全政策法規要求與安全運營的發展第一章

29、 背景概述11我國高度重視網絡安全工作，已初步構建起較為完善的網絡安全法律法規和政策體系，不斷提高網絡安全監管力度，為網絡安全體系化提供政策保障和指導。1 1）國家戰略層面）國家戰略層面習近平總書記在網絡安全和信息化工作座談會上的講話內容，要求加快構建關鍵信息基礎設施安全保障體系，增強網絡安全防御能力和威懾能力。中網辦發文20174 號國家網絡安全事件應急預案建立健全網絡安全應急協調和通報工作機制，與各地區、各部門建立網絡安全應急響應機制，及時匯集信息、監測預警、通報風險、響應處置，構建起“全國一盤棋”的工作體系。中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要著重

30、強化數字經濟安全體系，包括增強網絡安全防護能力、切實有效防范各類風險。表明，組織和企業需要的安全已不再只是合規，而是能夠不斷自我迭代優化、演進、提供持續性能力輸出的安全運營保障體系。黨的二十屆三中全會審議通過中共中央關于進一步全面深化改革、推進中國式現代化的決定聚焦建設更高水平平安中國，健全國家安全體系，強化一體化國家戰略體系，增強維護國家安全能力，創新社會治理體制機制和手段，有效構建新安全格局。2 2）法律法規層面）法律法規層面中華人民共和國網絡安全法明確了網絡運營者的安全保護義務，要求有效應對網絡安全事件。如要求采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡

31、處于穩定可靠運行，包括有效應對網絡安全事件，和安全監測預警和事故處置。關鍵信息基礎設施安全保護條例對關鍵信息基礎設施的范圍和保護要求進行了細化。如應重點保護，采取措施，監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞。3 3）國內監管部門要求舉措）國內監管部門要求舉措行業監管層面，中國人民銀行、國家能源局等部門針對金融、電力等行業發布了具體的網絡安全運營指引和管理辦法，提出了更具行業特色的安全要求。中國人民銀行 2020 年發布金融行業網絡安全等級保護實施指引，要求金融機構應能夠在統一安全策略下防護免受來自外部的威脅源發起的惡意攻擊

32、、能夠及時發現、監測攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復絕大部分功能。國家能源局 2022 年發布電力行業網絡安全管理辦法，建立健全網絡安全保障體系和工作責任體系，提高網絡安全防護能力，保障電力系統安全穩定運行和電力可靠供應，對網絡安全事件進行調查和評估，采取技術措施和其他必要措施，消除安全隱患，防止危害擴大，向有關主管部門報告。4 4）鼓勵創新鼓勵創新此外，國家還積極鼓勵技術創新和應用試點。工信部、網信辦等部門組織的網絡安全技術應用試點示范工作，為 ISOC 的發展創造了良好的政策環境。證監會 2023 年發布證券期貨業信息安全運營管理指南，指導行業機構建立完善的安全運營體

33、系第一章 背景概述12和流程，規范信息安全運營管理過程，推動相關安全措施的有效實施和持續改進。2022 年，工信部、國家網信辦等十二部門近日聯合印發通知，組織開展網絡安全技術應用試點示范工作，從云安全、人工智能安全、大數據安全、網絡安全等“高精尖”技術創新平臺 9 個重點方向，推動技術先進、應用成效顯著的試點示范項目。2023 年，工業和信息化部等十四部門近日聯合印發 關于開展網絡安全技術應用試點示范工作的通知，以新型信息基礎設施安全、數字化應用場景安全、安全基礎能力提升為主線，遴選一批技術先進、應用成效顯著的試點示范項目。1.31.3 傳統傳統 SOCSOC 的挑戰的挑戰安全運營中心（SOC

34、）作為企業安全運營的核心，通常結合技術、流程和人員能力，通過對安全威脅的檢測、分析和事件響應，滿足組織對安全風險管控的要求。然而，面對日益復雜和不斷升級的安全威脅，以及企業 IT 環境的快速變化，傳統的 SOC 運營模式正面臨著嚴峻的挑戰，安全運營亟須向智能化、自動化、主動化轉型。傳統 SOC 的挑戰主要的挑戰包括：主要的挑戰包括：1 1）運營效率低下，人工處理瓶頸凸顯）運營效率低下，人工處理瓶頸凸顯傳統 SOC 嚴重依賴人工處理海量告警和日志。面對爆炸式增長的數據量和復雜的攻擊手法，人工分析效率低下，響應速度緩慢。大量的誤報和低價值告警消耗了安全分析師大量精力，導致“告警疲勞”，真正的高危威

35、脅反而容易被淹沒。同時，網絡安全人才特別是具備高級分析能力的安全專家嚴重短缺，使得人力成為制約安全運營效率和效果的關鍵瓶頸。2 2）數據價值挖掘不足，缺乏全局視角）數據價值挖掘不足，缺乏全局視角傳統 SOC 往往存在“數據孤島”問題，來自不同安全設備和系統的數據分散存儲，缺乏有效的整合和關聯分析手段。安全分析師難以從海量、異構的數據中快速提取有價值的信息，無法形成對安全態勢的全面、深入理解，更難以進行主動的威脅狩獵和風險預測。第一章 背景概述133 3）高級威脅應對能力不足）高級威脅應對能力不足傳統 SOC 主要依賴基于規則和簽名的檢測方法，對于不斷變種的惡意軟件、0-day 漏洞攻擊、無文件

36、攻擊、APT 攻擊等高級威脅和未知威脅的檢測能力嚴重不足，導致防御體系容易被突破。威脅情報的利用也往往停留在簡單的 IOC 比對層面，難以深入理解攻擊者的 TTP 和意圖，無法實現有效的威脅溯源和精準防御。4 4）缺乏主動性和適應性）缺乏主動性和適應性傳統 SOC 以被動響應為主，難以主動發現潛藏的威脅。安全策略和檢測規則通常是靜態配置的，更新滯后，無法根據威脅態勢的變化進行動態調整，缺乏對新型攻擊手法的適應性。5 5）與業務脫節，價值難以衡量）與業務脫節，價值難以衡量傳統 SOC 往往獨立于業務部門運作，安全策略與業務需求可能存在沖突。安全運營的效果難以量化評估，安全部門常被視為成本中心，其

37、對業務的價值貢獻難以清晰展現，導致安全投入難以獲得充分的理解和支持。14第二章 ISOC 概念與能力第二章第二章 ISOCISOC 概概念和能力念和能力隨著網絡安全威脅的日益復雜和企業數字化轉型的深入，傳統安全運營中心（SOC）的業務邊界正在不斷拓展，不僅需要應對層出不窮的網絡攻擊，還需滿足日益嚴格的數據安全與合規要求。這些內外部挑戰使得傳統的、依賴經驗驅動的 SOC 運營模式難以為繼，亟須向數據驅動、AI 賦能的智能化安全運營中心（ISOC）轉型。ISOC 通過利用 AI 技術提高安全運營效率，并對運營進行量化管理，最終實現安全業務價值的最大化。本章將深入探討 ISOC 的演進歷程、核心理念

38、、關鍵特征、目標、能力框架以及其建設的必要性。2.12.1SOCSOC 的升級演變的升級演變安全運營中心的發展是一個持續演進的過程，受到業務需求擴展和技術進步的雙重驅動。在業務范圍層面，SOC 的業務范圍從最初聚焦于安全事件的研判分析、響應調查，逐步向更廣泛的領域延伸，涵蓋了全面的風險管理（包括資產、漏洞、配置、攻擊面等）、數據安全治理、供應鏈安全評估、合規性管理以及安全運營效果的量化管理等。SOC 的業務范圍擴展能力發展方面，SOC 從單點防御到合規驅動，再到實戰驅動，最終走向數據驅動、AI 賦能的智能化階段。15第二章 ISOC 概念與能力SOC 的能力升級第一階段：單點防御階段（第一階段

39、：單點防御階段（20002000 年前）年前）隨著互聯網的初步發展，早期安全威脅主要以病毒、蠕蟲等為主，安全防護主要依靠部署防火墻、殺毒軟件等單點安全產品進行防御，安全運營以事件驅動、人工分析為主，難以應對規?；?。階段特點：階段特點：單點防御，事件驅動：主要依靠的單一安全產品（如防火墻、殺毒軟件、IDS）進行點狀防御，缺乏整體的安全防護體系。安全運營主要以監控響應為主，針對單一安全事件進行處置，缺乏對安全事件的關聯分析和深入排查。關注具體威脅：主要關注惡意軟件（如病毒、蠕蟲）和單點網絡事件（如端口掃描、DoS 攻擊），對攻擊的整體性和關聯性關注不足。第二階段：合規驅動的安全運營（第二階段：

40、合規驅動的安全運營（2007200720152015 年）年）隨著網絡攻擊的復雜化和規?；?，以及為滿足等級保護等法規要求，企業開始大量部署安全產品，SIEM 平臺應運而生，但產品間缺乏聯動，“告警噪音”激增，對高級威脅防御能力不足。階段特點：階段特點：安全產品堆疊：組織開始大量部署各種安全產品，例如防火墻、IDS/IPS、WAF、防病毒軟件、VPN 等，但這些產品往往缺乏有效地集成和聯動，形成“安全孤島”。合規驅動：安全建設的主要驅動力是滿足各種安全法規和標準的要求，例如等級保護制度等。大量“噪音”急劇增加：各種安全設備產生大量的相關信息，其中大部分是誤報，安全分析師難以全面識別出真正的威脅，

41、導致告警疲勞。第三階段：實戰驅動的安全運營（第三階段：實戰驅動的安全運營（20152015 年左右至年左右至 20222022 年左右）年左右）16第二章 ISOC 概念與能力隨著等保等合規的建設推進，組織已經完成安全基礎設施的建設。面對 APT 攻擊、0-day 漏洞等高級威脅，企業開始關注安全運營的實際效果，SOAR、UEBA 等技術興起，安全運營向主動防御轉變，但仍高度依賴安全專家經驗。階段特點：階段特點：關注實戰效果：組織開始關注安全運營的實際效果，而不僅僅是滿足合規性要求。安全建設從合規驅動轉向實戰驅動。主動防御：組織開始重視主動防御，例如威脅情報、威脅狩獵、欺騙防御等。安全能力的整

42、合：出現 XDR 等新的安全概念，嘗試整合各個安全產品能力，形成統一的安全防御體系。第四階段：數據驅動、第四階段：數據驅動、AIAI 賦能的智能安全運營（賦能的智能安全運營（20222022 年至今）年至今）隨著人工智能技術的快速發展和安全大數據應用的成熟，安全運營邁入了數據驅動、AI 賦能的智能化階段，ISOC 成為核心概念，通過大數據、AI 技術（特別是大模型和 AI Agent）實現威脅檢測、事件分析、響應處置、威脅狩獵等環節的自動化和智能化，構建人機協同、持續進化的主動防御體系，以更高效、更智能的方式應對復雜多變的網絡安全威脅。階段特點：階段特點：數據驅動：以數據為核心，構建安全數據湖

43、，為安全分析提供全面的數據支撐。AI 賦能：廣泛應用 AI 技術提升安全運營的智能化水平。AI 智能體作為 ISOC 的“智慧大腦”，協調各個安全平臺，提供智能化的決策支持。自動化：實現安全運營流程的自動化。關注效果和效率：不僅關注安全防護的效果，還關注安全運營的效率和成本。量化管理：建立量化的安全指標，對安全運營體系的效果進行量化和評估。2.22.2ISOCISOC 的理念的理念智能化安全運營中心（ISOC）的核心理念是以數據驅動和 AI 賦能為雙引擎，構建人機協同、持續進化的主動防御體系，實現安全運營的自動化、智能化和自適應，并最終將安全運營與業務目標深度融合。理念強調數據是 AI 模型訓

44、練和優化的基礎，為 AI 賦能提供高質量的數據支撐，從而提升智能化水平；反過來，AI 賦能又通過增強數據處理和分析能力（如提升數據質量、整合更豐富的情報數據），并結合安全專家的經驗，實現更精準的決策。17第二章 ISOC 概念與能力ISOC 的理念示意圖1 1）ISOCISOC 的主要特點的主要特點ISOC 的主要特點體現在其對傳統 SOC 能力的全面增強。具備更廣泛和深入的數據感知能力，集成多源異構數據，提供事件的全面上下文；擁有更智能的威脅檢測能力，應用 AI 技術準確識別已知未知威脅，降低誤報漏報；實現更自動化的事件響應，通過 SOAR 和 AI Agent 縮短響應時間；具備更強大的數

45、據分析能力，利用大數據和 AI 模型進行深度分析；構建更主動的防御能力，利用威脅情報、AI 預測、威脅狩獵等實現事前預防；倡導更高效的人機協同，AI 輔助分析決策，分析師專注于復雜威脅研判；擁有更持續的優化能力，利用 AI 模型的自學習能力實現安全運營體系的持續進化。2 2）ISOCISOC 的主要目標的主要目標ISOC 的主要目標是多維度的。致力于提高安全運營效率，通過 AI 驅動的檢測和自動化響應縮短 MTTD 和 MTTR；降低安全運營成本，通過自動化減少對安全專家的依賴，降低人力成本，并通過精準防御減少安全事件損失；18第二章 ISOC 概念與能力增強威脅檢測和響應能力，有效應對未知威

46、脅、高級威脅和異常行為；構建主動防御體系，利用威脅情報、AI 預測等技術，實現從事后響應到事前預防的轉變；實現數據驅動的安全決策，利用 AI 對安全數據進行深度分析，提供科學決策依據；實現安全投資價值最大化，通過高效運營提升安全防護水平。2.32.3ISOCISOC 的能力框架的能力框架ISOC 的核心能力是依托安全數據和 AI 技術，深度賦能安全運營的各個環節，構建以數據驅動、AI 賦能、自動化響應為特征的新一代安全運營體系。AI 增強的安全運營中心能力框架1 1）AIAI 賦能的風險識別能力賦能的風險識別能力ISOC 通過廣泛利用 AI 技術，在風險識別方面實現顯著增強，從事后補救轉向事前

47、預防。這包括智能化的資產管理，利用 AI 自動發現、分類、評估資產風險，并構建資產關系圖譜；持續的暴露面管理，利用 AI 自動化進行漏洞掃描、滲透測試、配置核查，并智能排序漏洞優先級，提供修復建議；以及深入的風險評估，利用AI 結合威脅情報、業務環境等因素，進行全面的、動態的風險評估和預測。2 2）AIAI 賦能的威脅檢測與研判能力賦能的威脅檢測與研判能力ISOC 通過 AI 技術，顯著增強了威脅檢測的準確性、效率和覆蓋范圍，特別是在未知威脅和高級威脅檢測方面。這包括利用 AI 進行智能化的告警篩選與分診，快速識別高優先級事件，降低告警噪音；通過 AI 驅動的異常檢測（如 UEBA、NDR/N

48、TA）學習正常行為模式，識別未知威脅和零日攻擊；以及應用 AI 算法進行智能化19第二章 ISOC 概念與能力的事件分析研判，深度挖掘事件關聯性、構建攻擊鏈路、還原攻擊場景、預測攻擊意圖，為響應處置提供決策支持。3 3）AIAI 賦能的自動化響應能力賦能的自動化響應能力ISOC 通過深度整合自動化與智能化技術，實現了對安全事件的快速、精準、高效處置，顯著縮短響應時間（MTTR）并最大限度減少損失。包括智能化的事件分級與優先級排序，確保關鍵威脅優先處理；AI 驅動的事件分析研判，為響應決策提供關鍵支撐；自動化響應編排，通過 SOAR 平臺和 AI Agent，根據分析結果或預定義策略，自動化執行

49、響應劇本；以及 AI 提供專家輔助決策，為安全分析師推薦最佳響應策略，甚至自動生成響應劇本，并支持通過人機協同不斷優化。4 4）AIAI 賦能的數據驅動能力賦能的數據驅動能力ISOC 的數據驅動，核心在于將海量、多源的安全數據轉化為可行的安全洞察和智能行動。不僅需要全面、高質量的安全數據為基石，為 AI 模型的訓練和智能分析夯實基礎；更關鍵的是，應通過建立全面的量化指標體系（如 MTTD、MTTR、告警準確率、風險評分等），結合 AI 驅動的持續數據分析，實現對運營效果的精準評估與持續優化，從而驅動基于數據的安全決策，最終確保安全投入的價值回報最大化，并實現安全運營體系的持續進化，以及利用 A

50、I 技術進行自動化的合規檢查和報告生成，以及將供應鏈安全和數據安全納入統一運營范疇。2.42.4ISOCISOC 的必要性的必要性ISOC 的建設對現代企業的必要性日益凸顯。不僅能有效解決傳統安全運營模式的痛點，還能夠顯著提升組織應對日益嚴峻和復雜的網絡安全挑戰的能力，并最終保障業務的安全、穩定運行。20第二章 ISOC 概念與能力智能安全運營中心的必要性具體體現在以下幾個方面：首先，ISOC 是應對不斷增長的安全威脅的必然選擇。當前安全威脅的復雜性和多樣性持續提升，APT 攻擊手段不斷升級，傳統安全防御手段已難以有效應對。ISOC 能夠整合多源異構的安全數據，利用大數據分析、機器學習、人工智

51、能等技術，實現對安全威脅的全面感知和精準識別，深度融合 AI 技術與安全運營，打造智能化安全運營中心，實現降本增效。其次，ISOC 能夠解決安全運營的痛點。傳統安全運營面臨告警數量大、誤報率高、安全事件響應周期長、安全運營人員專業能力要求高等問題。ISOC 通過 AI 驅動的告警降噪、自動化響應、智能分析等手段，能夠降低誤報率，提高告警準確性，加快安全事件響應速度，減輕安全運營人員工作負擔。通過自動化編排，將安全運營流程由手工模式轉為自動化模式，以提高網絡安全事件處置效率。第三，ISOC 能夠提升安全運營的效率和效果。它實現了安全運營的自動化、智能化和協同化，提高了安全運營的整體效率和效果。通

52、過縮短威脅研判時間，降低誤報率，提升安全事件處置效率，減少人工干預，ISOC能夠為企業帶來實實在在的價值。通過量化指標體系，可以實現對安全運營效果的全面評估和持續改進，確保安全投入的回報最大化。21第二章 ISOC 概念與能力第四，ISOC 能夠更好地滿足合規性要求。隨著網絡安全法律法規的日益完善，組織需要滿足各種合規性要求。ISOC 能夠幫助組織梳理安全流程，建立安全制度，利用 AI 技術自動化進行合規性檢查，滿足等級保護、GDPR 等合規性要求，確保安全建設符合合規標準。最后，ISOC 能夠實現全方位的安全防護。傳統安全防護手段難以覆蓋云安全、數據安全、供應鏈安全等新興領域。ISOC 能夠

53、擴展業務范圍，將這些新興領域納入安全運營，實現全方位的安全防護，并能夠構建更為開放的安全生態，積極引入更多權威威脅情報源和合作伙伴，構建全生態協同作戰平臺。22第三章 ISOC 的關鍵技術第三章第三章 ISOCISOC 的關鍵技術的關鍵技術智能化安全運營中心（ISOC）通過數據驅動和 AI 賦能，實現了安全運營的自動化、智能化和自適應，代表了未來安全運營的發展方向。本章將深入探討 ISOC 的工作原理、智能化發展階段、技術架構支撐以及其運營的關鍵技術，全面闡述 ISOC 如何引入人工智能和自動化技術，實現安全運營的轉型升級。3.13.1ISOCISOC 的工作原理和發展的工作原理和發展1 1）

54、工作原理）工作原理ISOC 的工作原理圍繞著一個持續的數據處理、分析、決策和行動閉環。首先，通過部署在各類安全設備和IT 系統上的傳感器或接口，全面采集海量、多源的安全相關數據（日志、流量、告警、行為、情報等）。這些原始數據被匯聚至安全數據湖或安全大數據平臺進行集中存儲、清洗、標準化和豐富化處理，為后續分析奠定高質量的數據基礎。接著，AI 分析引擎利用機器學習、深度學習、NLP、知識圖譜等技術對處理后的數據進行深度分析，進行威脅檢測、異常行為識別、事件關聯和風險評估。AI Agent 作為智能中樞，接收并綜合分析引擎的輸出，結合自身的知識庫和預設目標進行智能決策和任務編排，生成響應建議或自動化

55、的響應預案。SOAR平臺則根據 AI Agent 的指令或預定義劇本，自動化執行響應操作，通過調用各安全設備的 API 接口實現威脅的遏制、清除和修復。在此過程中，安全分析師通過人機交互界面對 AI 的分析結果和自動化行動進行監控、審核和干預，并將經驗和知識反饋給 AI 系統。最終，整個 ISOC 系統通過持續學習和優化（包括 AI 模型的迭代、知識庫的更新、流程的改進），不斷提升其安全運營的智能化水平和對新型威脅的適應能力。ISOC 的工作原理23第三章 ISOC 的關鍵技術2 2）智能化發展）智能化發展ISOC 的智能化發展并非一蹴而就，而是經歷了一個從自動化到智能化再到自主化的漸進過程。

56、每個階段都引入了新的技術和能力，逐步提升安全運營的效率、效果和自適應性，最終目標是構建一個能夠自主學習、自主決策、自主響應的智能安全運營體系。ISOC 的智能化發展第一階段：自動化階段夯實基礎自動化階段的核心目標是將安全運營中重復性、規則明確、耗時的人工任務自動化，以提高效率、減少人為錯誤，為后續的智能化升級奠定基礎。關鍵技術特點包括利用機器學習的聚類算法對海量告警進行分組降噪，幫助分析師聚焦關鍵威脅；建立多維度的風險評分模型，結合置信度、嚴重性、影響范圍、威脅情報等指標，為告警確定優先級；以及廣泛應用 SOAR 平臺，通過預定義的劇本實現常見安全事件的自動化響應編排。第二階段：整合與優化階段

57、提升智能整合與優化階段的目標是將不同的安全工具和 AI 模型進行深度集成，形成一個協同工作的智能安全運營體系，并利用 AI 技術對安全運營流程進行優化。關鍵技術特點包括引入基于 Agent 的架構，讓 AI Agent 負責特定任務并進行協作；利用基于人類反饋的強化學習等技術，使 AI Agent 能夠從實踐和分析師反饋中持續學習和改進決策能力；安全運營從“全量處理”轉向“精準打擊”，由 AI Agent 智能規劃調查路徑和響應措施；構建安全知識圖譜，關聯威脅情報、漏洞、資產、事件等信息，為 AI Agent 提供豐富的上下文；以及應用大語言模型（LLM）進行安全事件分析、報告生成、知識問答等

58、，進一步提升效率和智能化水平。第三階段：自主智能階段實現自主適應自主智能階段的目標是實現安全運營的高度自主化和自適應，使安全系統能夠自動適應新的威脅和環境變化，并持續優化自身的安全能力。關鍵技術特點包括建立多反饋機制，使 AI Agent 之間以及 AI Agent 與分析師、外部知識庫之間能夠共享結果和經驗，實現系統的共同進化；構建動態、快速的響應機制，利用集體智慧和強化學習等技術，自動調整實時策略以應對不斷變化的威脅；實現優化的資源分配，根據風險等級、影響范圍和成功可能性，智能地優先處理安全事件和分配運營資源；達成自適應安全，系統能夠根據風險評估結果動態調整安全策略和控制措施；以及實現持續

59、學習與進化，ISOC 能夠不斷從新的數據和反饋中學習，優化 AI 模型、24第三章 ISOC 的關鍵技術策略和流程，保持對新興威脅的防御能力。3.3.2 2ISOCISOC 的技術架構的技術架構ISOC 的技術架構是一個層次化、模塊化、開放式的體系結構，旨在實現數據的全面采集、智能的分析、自動化的響應、人機協同的運營模式，以及持續的優化改進。通常包括以下幾個關鍵層次：數據采集層負責全面收集多源異構的安全相關數據；數據匯聚層通過 SIEM 和安全數據湖實現數據的集中存儲、預處理和管理；智能分析層利用 AI 安全分析平臺、UEBA、TIP、AI Agent 和知識庫進行深度分析、威脅檢測和風險評估

60、；編排響應層通過 SOAR 平臺實現安全事件響應的自動化編排與執行；操作交互層則通過態勢感知平臺、分析師工作臺和 AI Agent 交互界面，支持人機協同。AI Agent 作為核心智能體，貫穿各個層次，進行協調、決策和學習。IT基礎設施（網絡、計算、存儲）是整個架構的基礎支撐。整個架構通過“數據匯聚感知理解知識總結決策行動持續學習”的閉環循環，驅動 ISOC 不斷進化，構建主動、智能、自適應的安全防御體系。ISOC 技術架構示意圖1 1）數據處理層）數據處理層數據處理層作為 ISOC 的數據樞紐，負責匯聚來自數據采集層的海量、多源異構數據，并進行高效地管理和處理。核心功能包括數據匯聚（統一接

61、收日志、流量、告警、情報等）、數據清洗與轉換（去重、格式化、標準化、豐富化）、數據存儲與管理（利用大數據技術如 Hadoop 等構建安全數據湖或增強型 SIEM）、數據索引與查詢（支持快速檢索）以及數據訪問控制。其關鍵在于保證數據的全面性、準確性、實時性和可用性，為上層智能分析提供高質量的數據基礎，并通過統一接口實現數據共享。25第三章 ISOC 的關鍵技術2 2）智能分析層）智能分析層智能分析層作為 ISOC 的“大腦”，負責利用 AI 技術對匯聚的數據進行深度分析，實現威脅檢測、事件分析和決策支持。核心功能包括 AI 賦能的威脅檢測（利用機器學習、深度學習識別未知威脅、高級威脅和異常行為）

62、、智能化的事件分析研判（自動化關聯分析、根因分析、攻擊路徑還原、風險評估）、威脅情報的深度分析與應用（利用 NLP、知識圖譜等分析情報、提取 IOC、構建攻擊者畫像）、AI Agent 的智能決策（基于分析結果和知識庫生成響應建議或預案）以及可解釋 AI（提供模型決策依據）。該層是 ISOC 實現智能化的關鍵，需要強大的 AI 模型庫和知識庫支撐。3 3）編排響應層）編排響應層編排響應層作為 ISOC 的“手臂”，該層負責將智能分析層的決策轉化為具體的行動，實現安全事件的自動化響應和處置。核心功能包括安全劇本編排（通過可視化或低代碼方式定義響應流程）、自動化執行（協調SOAR 平臺調用各安全設

63、備 API 執行隔離、阻斷、清除等操作）、與 AI Agent 的集成（接收 AI Agent 生成的響應預案并執行）、案例管理（記錄和管理事件處置全過程）以及審批流程（對高風險操作進行人工審核）。關鍵在于與各安全工具和 IT 系統的廣泛集成能力以及劇本的靈活性和可靠性。4 4）操作交互層）操作交互層操作交互層作為 ISOC 與安全運營人員之間的接口，該層負責提供友好的人機交互界面和工具，支撐人機協同。核心功能包括安全態勢感知（通過儀表盤、圖表、地圖等可視化展示安全態勢）、事件調查與分析（提供統一工作臺和分析工具）、AI Agent 交互（查看 AI 分析結果、授權響應、提供反饋）以及報告生成

64、（自動或半自動生成各類安全報告）。關鍵在于提升用戶體驗，降低操作復雜度，促進 AI 與人的高效協作。3.33.3 ISOCISOC 的基礎技術的基礎技術ISOC 的實現依賴于多種關鍵技術的融合與應用，這些技術共同支撐了 ISOC 的數據驅動、AI 賦能、自動化響應和持續進化能力。26第三章 ISOC 的關鍵技術ISOC 的技術能力1 1）大數據處理技術）大數據處理技術大數據管理技術包括分布式存儲（如 Hadoop、Elasticsearch）、分布式計算（如 Spark、Flink）、流處理、數據倉庫、數據挖掘等，是處理 ISOC 海量安全數據的基礎，主要能力包括：海量的安全數據采集：應從組織

65、 IT 環境的各個層面和角度，全面采集與安全相關的數據，并關注實時采集數據、支持多種數據源、能夠處理不同格式的數據，如 Syslog、JSON、X 機器學習、CSV 等。多樣化的數據類型：ISOC 需要處理和分析各種類型的安全數據，包括格式化數據（例如數據庫日志）、半格式化數據（例如 JSON、XML 格式的日志）和非格式化數據（例如文本格式的）威脅情報、圖像、視頻等）數據匯聚：將來自各個數據源的海量安全數據匯聚到一個或多個中心節點，進行集中存儲和管理。數據清理和轉換：對數據進行清理、去重、格式轉換、范式化等操作，形成統一的數據格式。數據存儲和管理：利用大數據技術，對海量安全數據進行高效地存儲

66、和管理。數據索引和查詢：對數據進行索引，支持快速地檢索和查詢。數據訪問控制：對數據訪問進行權限控制，保證數據的安全性。技術關鍵點：技術關鍵點：確保數據的全面性、實時性和高質量。應制定統一的數據采集規范，明確各個數據源需要采集的數據類型和格式；建立數據質量監控機制，及時發現和處理數據質量問題；利用消息隊列等技術實現數據的實時傳輸和處理。確保數據的可訪問性和可用性，以及數據分析的高效性。應為智能分析層提供統一的數據訪問接口；智27第三章 ISOC 的關鍵技術能分析層根據分析需求從數據湖中查詢和獲取數據，并利用大數據處理技術提升數據分析的效率。2 2）人工智能技術）人工智能技術人工智能技術是 ISO

67、C 的核心，涵蓋機器學習/深度學習、自然語言處理（NLP）、知識圖譜、大語言模型（LLM）、AI Agent 技術等。大模型應用技術大模型應用技術大模型在安全運營中，大模型的優勢是自然語言理解和生成能力、擅長理解復雜語境、自然語言、跨領域知識，主要能力包括：理解自然語言信息。針對安全報告、威脅情報和日志數據。對告警信息進行識別和關聯，提取關鍵信息，進行深入的分析和推理。對話交流。安全人員可以使用日常語言與模型交流，獲取信息和指導，降低安全工具的使用率，提高工作效率。識別新型威脅和未知攻擊。大模型的泛化能力可識別新型威脅和未知攻擊，即使這些威脅和攻擊與訓練數據存在差異。推薦方案。根據安全事件的類

68、型和嚴重程度，自動生成響應方案和操作指南，提高事件響應的速度和準確性。典型應用：典型應用：威脅檢測和分析?；谠既罩?、業務流量及安全告警數據等，檢測和識別潛在威脅及異常行為，并給出處理措施。日志解析和故障排除。解讀日志數據，識別系統故障、配置錯誤及異常行為。專家知識問答。通過自然語言交互問答方式獲取安全專業知識和系統業務數據以及圍繞安全運營、安全運維相關的措施手段。生成實時安全建議和指導方案，輔助安全運營管理閉環。安全智能向導。通過和用戶交互，查詢對應的管理策略或要求，輔助人員快速獲取需要的信息。情報處理。實現高效的信息提取、理解和生成，適用于多種格式和復雜內容的處理，顯著提升文檔處理的智能

69、化水平。釣魚郵件生成。根據釣魚郵件主題，自動生成對應內容釣魚郵件，滿足攻防演練需求。威脅檢測。通過結合 AI 技術，進行威脅檢測。例如引入視覺神經網絡來替代傳統的釣魚監測、挖礦監測。自動生成報告?？焖偕墒录蟾?。推薦劇本。在安全分析研判之后，推薦可以進行處置的劇本。機器學習機器學習/深度學習深度學習機器學習/深度學習可以使計算機能夠從數據中學習，從數據中自動提取模式和規律，并利用這些模式進行預測或決策，分為監督學習、非監督學習、強化學習等多種類型。其中深度學習是機器學習的一個分支，使用28第三章 ISOC 的關鍵技術神經網絡來分析復雜數據，處理高維度、無形的數據，例如圖像、文本、音頻、序列數

70、據等，能夠自動學習復雜的特征表示。主要能力包括：數據分類：將數據劃分到不同的類別中，例如判斷郵件是否為垃圾郵件、判斷網絡流量是否為非法流量?；貧w：預測一個連續的數值，例如預測安全事件的風險等級、預測未來的攻擊頻率。異常檢測：識別異常模式的數據點，例如識別異常的用戶行為、異常的網絡流量等。關聯規則挖掘：發現數據中隱藏的關聯關系，例如發現不同安全事件之間的關聯。圖像識別：識別圖像中的物體、場景等，例如識別物體軟件的圖像。自然語言處理：理解和處理人類語言，例如分析郵件內容、識別釣魚網站等。序列流量數據建模：處理時間序列數據，例如用戶行為序列、網絡序列等，進行異常檢測和威脅預測。特征提?。鹤詣訌脑紨?/p>

71、據中學習特征表示，例如從網絡流量數據中學習特征。復雜模式識別：識別復雜的攻擊模式，例如 APT 攻擊、0-day 漏洞攻擊等。典型應用包括：典型應用包括：數據分類、數據安全：機器學習可以通過學習不同類型數據的特征，實現對數據類型的自動識別。這對于數據安全和數據治理非常重要，例如可以用于識別敏感數據、對數據進行分類分級等。惡意軟件檢測、入侵檢測：機器學習可以結合靜態分析（例如分析文件結構、代碼特征）和動態分析（例如在沙箱中運行程序，觀察其行為）的方法。該專利可能利用機器學習技術，從靜態和動態特征中識別出惡意軟件或攻擊行為的特征。網絡入侵檢測：深度學習模型可以從大量的網絡流量神經數據中自動學習特征

72、，利用深度網絡來識別網絡異常行為，并識別出復雜的攻擊模式。網絡攻擊檢測、加密流量分析：機器學習可以結合 DNS 和 HTTPS 流量的特征，利用機器學習方法識別惡意加密流量。這對于檢測利用加密通道進行通信的惡意軟件和行為攻擊非常重要。人工智能識別：利用機器學習或深度學習技術，可以對惡意軟件進行類型檢測，例如識別出勒索軟件、木馬、蠕蟲等不同類型的惡意軟件。漏洞利用檢測、0-day 攻擊檢測：利用機器學習或深度學習技術，可以檢測針對未知漏洞（零日漏洞）的攻擊。這通常需要利用異常檢測或行為分析技術。威脅檢測：構建多源安全檢測框架，并利用機器學習技術進行場景檢測。整合來自多個安全設備和系統的數據，并利

73、用機器學習模型識別出特定的安全場景，例如 APT 攻擊、數據泄露等。知識圖譜知識圖譜知識圖譜是一種用圖結構來表示知識的方法，它由節點和邊組成，節點表示實體或概念之間的關系，邊表示實體或概念之間的，能夠表示實體之間的復雜關系，支持推理和查詢，并可以融合多個源數據。技術典型應用包括：威脅檢測與分析：知識圖譜能夠通過實時關聯不同來源和類型的數據，發現數據之間的隱藏關系，構建完整的攻擊鏈路。安全基線檢查：知識圖譜能夠關聯各種安全管理要素，例如資產、漏洞、威脅和安全策略，可以評估29第三章 ISOC 的關鍵技術安全配置的有效性和完整性威脅情報分析：構建威脅情報知識圖譜，將攻擊者、攻擊手段、惡意軟件、漏洞

74、等信息關聯起來，幫助安全分析師更好地掌握威脅情報。例如將某個惡意 IP 地址與相關的惡意域名、惡意文件、攻擊組織等信息關聯起來。安全事件關聯分析：利用知識圖譜進行安全事件的關聯分析，例如發現不同安全事件之間的關聯，還原攻擊者的攻擊路徑。例如將來自 SIEM、EDR、NDR 等平臺的安全事件關聯起來，構建攻擊事件的知識圖譜，從而發現隱藏的攻擊鏈。攻擊者畫像：可以利用知識圖譜構建攻擊者畫像，例如分析攻擊者的 TTP、使用的工具、攻擊的目標等。例如根據攻擊者的模式行為和使用的工具，構建攻擊者畫像，并將其與已知的攻擊組織進行關聯。3 3）SOARSOAR 技術技術安全編排自動化與響應（SOAR）實現安

75、全事件響應流程的自動化，旨在提高安全運營效率，快速響應安全事件，并減輕安全人員的工作壓力。技術典型應用包括：邊界一鍵封堵：發現惡意 IP 攻擊后，聯動防火墻封堵外部惡意 IP 訪問策略。終端一鍵查殺：發現病毒攻擊后，進行病毒查殺及終端隔離，賬號禁用。惡意軟件檢測與隔離：檢測到惡意軟件，自動隔離受感染主機并通知安全團隊。釣魚郵件響應：檢測到釣魚郵件時，自動隔離郵件并通知相關人員。勒索軟件響應：檢測到勒索軟件活動，自動隔離受感染主機并通知安全團隊。DDoS 攻擊緩解：檢測到 DDoS 攻擊時，自動觸發防火墻規則更新并通知運營團隊。內部威脅檢測：當檢測到異常內部訪問行為時，自動鎖定賬戶并生成調查報告

76、。挖礦檢測封鎖：將流量中的域名、IP、port、時間等數據發送至 EDR，由 EDR 證實風險程度，通過 SOAR 給防火墻下發封禁域名/IP 信息命令。4 4）威脅情報）威脅情報威脅情報為 ISOC 提供了關于攻擊者、攻擊手段、惡意軟件等方面的知識，幫助分析師更好地了解安全威脅，并采取更有效的防御措施，是實現主動防御的關鍵。例如異常行為或流量的研判、攻擊者畫像、制定應對措施等。技術典型應用包括：SIEM：將威脅情報集成到 SIEM 系統中，提高告警的準確性和優先級。入侵檢測系統（IDS）/入侵防御系統（IPS）：使用威脅情報檢測和阻止惡意入侵。終端安全：在終端設備上部署威脅情報，檢測和阻止惡

77、意軟件。釣魚郵件防護：識別和阻止釣魚郵件，保護用戶免受攻擊。態勢感知：通過威脅情報提升對網絡安全態勢的整體理解。關鍵技術點關鍵技術點應收集來自各種來源的威脅數據，如開源情報、商業威脅情報、社交媒體、暗網論壇等。通過安全廠商通過與客戶合作，在客戶現場進行安全服務，形成實戰報告，從中獲取實戰數據，用以訓練威脅情報模型。30第三章 ISOC 的關鍵技術構建威脅情報知識圖譜，描述實體之間的關系，提供威脅信息的上下文。智能化威脅情報的收集、分析和分發過程，提高效率。3.43.4ISOCISOC 的智能核心（的智能核心（AIAI 智能體）智能體）AI 智能體是 ISOC 的核心技術之一，也是實現安全運營智

78、能化、自動化和自適應的關鍵。AI 智能體能夠模擬人類專家的思維和行為，自主執行安全運營任務，并與安全分析師協同工作，從而大幅提升安全運營的效率和效果。在本報告中，我們將除大型語言模型（LLM）之外的機器學習、知識圖譜等 AI 技術稱為“基礎 AI 技術”。3.4.13.4.1 AIAI 智能體的關鍵能力智能體的關鍵能力AI Agent 的關鍵能力包括全面的數據采集能力、基于知識的推理能力、基于 AI 模型的分析能力、自主決策和規劃能力、自動化行動能力、持續學習和適應能力以及人機協同能力。AI 智能體關鍵能力全面的數據采集能力：通過 API 集成、消息隊列等方式，從 SIEM、EDR、NDR/N

79、TA、UEBA、TIP、DSPM等多個安全平臺獲取數據，進行數據的構建和標準化，構建對安全數據的全面采集?；谥R的推理能力：AI 智能體內部維護一個安全知識庫（例如本體庫、規則庫、案例庫、知識圖譜等），并利用推理引擎（例如規則引擎、邏輯推理、概率推理等）對采集到的信息目的進行推理，判斷安全事件的性質、攻擊的性質、影響范圍等?；?AI 模型的分析能力：AI 智能體能夠調用各種預先訓練好的 AI 模型（例如機器學習模型、深度學習模型、NLP 模型等）進行威脅檢測、異常分析行為、風險評估、攻擊路徑還原等。自主決策和規劃能力：AI 智能體能夠根據當前的安全預設和預設的目標，自主地進行決策，并制定行

80、動方案（如響應預案）。自動化行動能力：AI 智能體能夠協調 SOAR 平臺或其他安全工具，自動化執行預定義的響應操作，例如隔31第三章 ISOC 的關鍵技術離終端、阻止 IP、取消賬號等。持續學習和適應能力：AI 智能體能夠根據新的數據、安全分析師的反饋以及行動的執行結果，持續學習和優化自身的知識庫和 AI 模型，提高對未知威脅的檢測和響應能力。人機協同能力：AI 智能體能夠與安全分析師進行有效的人機協同，例如向安全分析師提供決策支持、接受安全分析師的指令、向安全分析師解釋其決策等。3.4.23.4.2 AIAI 智能體的工作流程智能體的工作流程AI Agent 的工作流程遵循“感知認知行動學

81、習記憶”的循環，持續監控環境、分析威脅、執行響應、學習和進化。AI 智能體工作流程（以告警處理為例）AIAI 智能體處理流程如下（以告警處理為例）：智能體處理流程如下（以告警處理為例）：收集來自收集來自 SIEM/SOCSIEM/SOC 的相關信息的相關信息安全設備（如 EDR、NDR、WAF 等）檢測到異常行為或威脅，生成告警發送給 SIEM/SOC 平臺，SIEM/SOC收集告警信息并進行初步處理（標準化、去重等），然后將處理后的信息發送給 AI 智能體。根據告警獲取更多信息根據告警獲取更多信息AI 智能體自動執行信息收集和查詢，無需人工干預。利用 API 集成和自然語言處理（NLP）技術

82、自動查詢多個數據源，獲取更多上下文信息來準確評估，如從 SIEM/SOC 獲取更詳細的日志信息，從 EDR 獲取進程、文件等信息，從 NDR/NTA 獲取相關的網絡流量數據，從 UEBA 獲取相關用戶的行為信息，從情報庫查詢威脅情報，獲取 IOC 信譽、攻擊者信息等，從資產數據庫：獲取相關資產的信息（例如，服務器的用途、操作系統、應用等），從漏洞數據庫獲取與相關的漏洞信息。AIAI 智能體告警分析智能體告警分析調用和編排各種 AI 模型，并整合分析結果。如 AI 智能體對其他事件進行分析，判斷其真實性、風險等級和影響范圍，運用多個 AI 模型進行分析，如利用威脅分類模型確定相似的類型（例如，惡

83、意軟件、網絡入侵、數據泄露等）。知識圖譜進行推理，例如，判斷其他中的 IP 地址是否與已知的惡意 IP 地址相關聯。智能決策與響應推薦智能決策與響應推薦32第三章 ISOC 的關鍵技術AI 智能體是決策的核心，利用 AI 模型（如決策樹、強化學習模型）進行決策，并生成響應建議。如根據相似的類型、風險等級、影響范圍等因素，推薦相應的響應措施，例如隔離主機、阻止 IP、禁用賬號、清除惡意軟件等。AI 智能體可以根據預定義的響應策略和當前的對應信息，自動生成針對該對應的響應預案，包括具體的響應步驟、負責人、時間要求等。優化和更新優化和更新AI 智能體監控利用 AI 模型進行智能化評估，涉及監控各個安

84、全平臺的數據，評估響應措施的執行效果，例如：受感染主機是否已成功隔離。非法流量是否已被阻止。惡意進程是否已被清除。安全分析師提供反饋信息，如誤報、漏報、提供正確的響應措施等，而 AI 智能體根據更新 AI 模型和知識庫，提高自身的性能，并將新的IOC、攻擊模式、響應策略等更新到知識庫。3.4.33.4.3 AIAI 智能體在智能體在 ISOCISOC 中的應用場景中的應用場景AI Agent 在 ISOC 中的應用場景非常廣泛，包括但不限于異常行為分析、威脅分析、威脅調查取證、智能事件調查、自動化響應、主動威脅狩獵、安全策略優化、安全風險評估、自動化安全報告生成等。AI Agent 的應用場景

85、異常行為分析智能體異常行為分析智能體利用機器學習模型，為每個用戶構建行為畫像，描述其正常的行為模式，如：正常登錄時間、正常訪問權限、正常訪問數據等，并開展異常行為檢測，發現非正常行為模式的異常行為，例如：異常登錄、異常訪問、異常權限使用、異常數據訪問等，并將告警發送給后面的內部威脅分析智能體。威脅分析智能體威脅分析智能體結合 UEBA、DLP 的數據外發、EDR 的終端異常行為等數據，進行綜合分析，判斷是否存在內部威脅。并將檢測到的異常行為與情報中的威脅情報進行關聯，例如，判斷某個用戶的行為是否與已知的內部威脅指標一致。并利用 NLP 和機器學習技術，分析用戶的行為軌跡和操作內容，推斷其意圖，

86、例如是無意的破壞操作或無意的惡意行為。威脅調查取證智能體威脅調查取證智能體收集與威脅事件相關的數據，例如日志、文件、郵件等記錄，利用知識圖譜等技術，還原內部威脅事件的33第三章 ISOC 的關鍵技術完整流程，并以可視化的方式呈現給安全分析師。對于高優先級告警，智能體會生成詳細的告警報告，包括告警描述、可能的原因、建議的處理措施等，并通過即時通訊工具、郵件或告警系統推送給運維人員。對于低優先級告警，智能體會記錄到日志中，供后續分析或定期回顧。其他智能體類型還有：其他智能體類型還有：智能事件調查：自動收集與事件相關的信息，進行關聯分析、攻擊路徑還原、根本原因分析，并提供調查建議。自動化響應：根據事

87、件類型和風險等級，自動生成響應預案，并協調 SOAR 平臺執行自動化響應操作。主動威脅狩獵：根據威脅情報和 AI 模型的分析結果，主動搜索潛在的威脅。安全優化策略：根據歷史安全事件和當前的威脅，提供安全策略優化的建議。安全風險評估：利用 AI 模型對安全風險進行量化評估。自動化安全生成報告：根據安全事件的分析結果，自動生成安全事件報告。1 1）AIAI 智能體的優勢智能體的優勢AI Agent 的優勢包括可提高效率、提升準確性、增強主動性、降低成本、持續學習、適應性強。提高效率：智能化執行安全運營任務，減少人工干預，提高效率。提升準確性：利用 AI 模型進行更準確的威脅檢測、事件分析和響應決策

88、。增強主動性：實現主動威脅檢測、主動威脅狩獵和主動防御。降低成本：減少對安全專家經驗的依賴，降低人力成本。持續學習：不斷學習新的威脅數據，持續提升自身的能力。認知能力強：能夠適應不斷變化的安全威脅和環境。挑戰：數據質量：AI 智能體的性能高度依賴于數據質量，需要保證數據的全面性、準確性、及時性和一致性。模型可解釋性：AI 模型的決策過程需要透明和可解釋，增強安全分析師的信任度。AI 智能體安全性：AI 智能體本身也可能成為攻擊目標，需要采取措施來保證 AI 智能體的安全性。AI 智能體故障：需要確保 AI 智能體的決策和行動是可靠的，避免誤操作。人才需求：需要既懂安全又懂 AI 的復合型人才來

89、構建和維護 AI 智能體。技術成熟度：AI 智能體技術仍處于發展階段，需要不斷探索和完善34第四章 ISOC 的典型應用場景第四章第四章 ISOCISOC 的典型應用場景的典型應用場景智能化安全運營中心（ISOC）通過將 AI 技術與傳統 SOC 應用相結合，顯著提升了安全運營的效率和效果。ISOC 能夠實現更精準的威脅檢測、更快速的事件響應、更全面的安全態勢感知以及更智能的安全決策支持，從而更好地保護組織的信息資產和業務安全。ISOC 的典型應用場景廣泛，主要涵蓋了風險識別、威脅檢測與研判、事件響應以及運營管理等關鍵領域。本章將詳細闡述 ISOC 在這些核心場景中的智能化應用。圖 ISOC

90、的典型應用場景4.14.1 風險識別風險識別組織通常擁有大量 IT 資產和復雜網絡環境，同時面臨嚴格的合規要求。傳統的安全運營在風險識別方面面臨諸多挑戰，如資產底數不清、漏洞管理低效、攻擊面評估困難等，難以實現真正的主動防御。35第四章 ISOC 的典型應用場景風險識別應用場景ISOC 通過引入 AI 技術，對風險識別的各個環節進行智能化賦能，實現了從事后補救到事前預防的轉變，為構建主動防御體系奠定了堅實基礎。智能化風險識別1 1）資產管理）資產管理面對組織 IT 資產數量龐大、種類繁多、變更頻繁的現狀，傳統手工管理方式效率低下且易出錯。ISOC 利用機器學習、知識圖譜和自然語言處理（NLP）

91、等技術，實現了資產的自動發現、精準分類、動態變更檢測以及關系可視化。AI 模型能夠自動識別資產類型、操作系統和應用軟件；NLP 技術則能從配置文檔中提取關鍵屬性；知識圖譜則構建資產間的依賴關系。這種智能化的資產梳理方式，不僅大幅提高了資產盤點的效率和準確36第四章 ISOC 的典型應用場景性，消除了管理盲區，還為后續的安全策略配置、漏洞管理和風險評估提供了可靠的基礎數據。智能化優勢：智能化優勢：提高資產盤點效率：自動化資產盤點提高效率，降低人工成本。全面掌握資產信息：提供完整、準確的資產清單，消除管理盲區。及時發現資產變更：快速識別未授權的資產變更，降低安全風險?？梢暬Y產關系：通過知識圖譜，

92、清晰顯示資產之間的關聯關系，從而進行風險評估和事件調查。2 2）風險評估）風險評估傳統的風險評估依賴人工經驗和靜態規則，難以全面、動態地評估復雜環境下的安全風險。ISOC 利用 AI技術提升風險評估的智能化水平。通過強化學習，可以自動化模擬攻擊者的漏洞掃描、利用和路徑規劃過程；機器學習模型可以根據漏洞的可利用性、威脅情報、資產重要性等因素，智能評估風險并優化防御策略；知識圖譜則關聯資產、漏洞、威脅等信息，提供更全面的風險上下文；自然語言處理技術則可用于自動化生成風險評估報告。這種 AI 驅動的風險評估方式，提高了評估效率、擴大了覆蓋面、提升了準確性，并能發現更復雜的潛在風險。智能化優勢：智能化

93、優勢：提高滲透測試效率：自動化執行滲透測試，整個測試周期。降低滲透測試成本：減少對人工滲透測試專家的依賴。擴大滲透測試覆蓋面：對目標系統進行更全面、更深入的安全測試。提高滲透測試質量：發現更多潛在的安全漏洞。3 3）自動化滲透測試和漏洞全生命周期管理自動化滲透測試和漏洞全生命周期管理針對傳統漏洞管理效率低、易出錯、修復優先級難確定的痛點，ISOC 實現了漏洞全生命周期的智能化管理。廠商案例廠商案例亞信安全的新一代 XDR 平臺通過廣泛接入第三方系統的資產數據，包括云、網絡、端行為數據和第三方日志等數據，實現多源資產數據的自動整合、屬性信息補全、資產清單生成及變更記錄，為解決數據孤島、威脅檢測提

94、供了可靠的數據基礎。廠商案例廠商案例碳澤的自動化滲透系統通過模擬真實黑客的攻擊，自動化驗證漏洞危害，從而驗證漏洞的測試破壞性以及企業安全防護的效果行為，更準確地評估安全風險。37第四章 ISOC 的典型應用場景利用 NLP 技術自動解析 CVE 描述，提取關鍵信息；利用機器學習模型根據嚴重性、可利用性、業務影響等因素智能排序漏洞優先級；利用知識圖譜分析漏洞與資產、業務的關聯，評估影響范圍并推薦修復方案。同時，AI驅動的自動化滲透測試能夠模擬攻擊者行為，自動發現、利用漏洞并規劃攻擊路徑，最終生成包含修復建議的詳細報告。這不僅提高了漏洞管理的效率和質量，降低了人工成本，還能優先修復高危漏洞，準確評

95、估漏洞影響，避免盲目修復帶來的業務中斷。智能化優勢：智能化優勢：自動化漏洞管理流程：提高漏洞管理效率，降低人工成本。確定風險修復優先級：優先修復高危漏洞，降低安全性。準確評估漏洞影響范圍：避免盲目修復，減少業務中斷時間。提供智能修復建議：加快漏洞修復速度，提高修復質量。4.24.2 威脅檢測與研判威脅檢測與研判傳統 SOC 基于規則的威脅檢測方法面臨誤報率高、漏報率高、難以應對高級威脅等挑戰，且在海量告警中準確評估威脅優先級也極為困難。威脅檢測應用場景ISOC 借助人工智能技術，在威脅檢測、告警降噪、情報生成與利用、高級威脅檢測以及事件調查等多個方面實現了智能化升級，顯著提升了威脅檢測與研判的

96、效率、準確性和科學性。廠商案例廠商案例碳澤的安全運營自動化平臺集成了漏洞管理和自動化滲透測試功能，能夠真實模擬攻擊者的行為，自動進行全面的漏洞利用和測試，驗證漏洞稀釋和安全防護效果，并通過工單系統、漏洞驗證等功能，實現漏洞的全生命周期管理。綠盟科技的 ISOP 平臺融合風云衛 NSFGPT 以檢測響應與 CTEM（持續威脅暴露面管理），實現漏洞管理的閉環管理，將安全左移，提升漏洞運營的效率和效果。38第四章 ISOC 的典型應用場景智能化威脅檢測1 1）威脅檢測）威脅檢測ISOC 通過對日志、網絡流量、終端行為及安全告警數據等進行深度分析，利用 AI 技術檢測潛在威脅及異常行為，特別是 APT

97、 攻擊、0-day 漏洞攻擊、無文件攻擊等高級威脅。深度學習模型被廣泛應用于分析網絡流量、終端行為等數據，檢測網絡入侵、惡意軟件和漏洞利用；機器學習則用于威脅分類、威脅評分和誤報過濾；UEBA 技術通過分析用戶和實體行為，檢測異常模式；知識圖譜則關聯安全事件與威脅情報，評估風險等級。這些智能化手段顯著提高了威脅檢測的準確率、覆蓋范圍和效率，降低了誤報率和漏報率，并縮短了威脅響應時間。智能化優勢：智能化優勢：提高威脅檢測準確率：降低誤報率和漏報率。檢測高級威脅：識別傳統方法難以檢測的高級持續性威脅（APT）?？s短威脅響應時間：快速識別和定位威脅，加快響應速度。提升安全運營效率：智能化威脅檢測和評

98、估，減輕安全評估負擔。39第四章 ISOC 的典型應用場景2 2）告警降噪）告警降噪面對海量日志數據，ISOC 利用 AI 技術進行精準降噪，將真正有價值的告警從大量噪音中提取出來。自然語言處理（NLP）技術用于解析日志，提取關鍵信息并進行語義分析；機器學習模型（如聚類、異常檢測）識別異常日志模式；深度學習模型分析日志序列，識別潛在攻擊行為；知識圖譜則關聯不同來源的日志數據，還原事件完整流程。這種智能化的告警降噪方式，自動化了日志篩選和分析過程，提高了效率和準確性，幫助安全分析師快速發現安全事件，提升了事件調查效率和安全設備的價值。智能化優勢：智能化優勢：智能化日志分析：提高日志分析效率，降低

99、人工成本?？焖侔l現安全事件：及時識別異常日志事件，發現潛在威脅。提高事件調查效率：通過日志關聯分析，快速定位事件原因。提升安全設備采集：從海量日志數據中提取有價值的安全信息，全面了解安全設備。3 3）情報生成和利用）情報生成和利用威脅情報是 ISOC 主動防御的基石。ISOC 利用 AI 技術自動化處理和分析海量的、多源的威脅情報。自然語言處理（NLP）技術從非結構化情報文本中提取關鍵信息（如 IOC、攻擊者 TTP、漏洞信息等），并自動生成情報摘要；知識圖譜技術關聯不同來源的情報，構建威脅知識圖譜；機器學習模型則根據情報的來源、時效性、相關性等因素，對情報進行優先級排序和可信度評估。AI A

100、gent 更能自動將高價值情報應用到安全設備（如更新防火墻規則、IDS/IPS 簽名、EDR 檢測規則等）和響應流程中。這極大地提高了情報分析效率和利用率，增廠商案例廠商案例奇安信 AISOC 利用機器學習和 AI 模型進行實時分析，快速準確識別潛在威脅；亞信安全新一代 XDR 平臺提供多維分析體系，覆蓋 APT、釣魚、加密流量、無文件攻擊、勒索等多種高級威脅場景；綠盟科技 ISOP 平臺則能自動分析 payload 關聯日志和情報給出攻擊是否有效及是否成功的判斷參考和解釋，并基于場景給出研判方法和依據。廠商案例廠商案例奇安信提供告警關聯智能體，對告警進行分類篩選和關聯，推薦升級為事件；亞信安

101、全新一代 XDR 平臺利用大模型結合業務場景進行 AI 降噪；綠盟科技 ISOP 平臺則實現智能降噪和業務誤報優化。40第四章 ISOC 的典型應用場景強了威脅檢測能力和主動防御能力。智能化優勢：智能化優勢：智能化情報分析：提高情報分析效率，降低人工成本?？焖佾@取關鍵情報：及時了解最新的安全威脅和攻擊趨勢。提高威脅檢測能力：利用威脅情報，提高威脅檢測的準確性和時效性。加強威脅情報共享：與合作伙伴共享威脅情報，共同防御網絡攻擊。4 4）0day0day 和高級威脅檢測和高級威脅檢測傳統 SOC 基于規則的方法難以識別 0-day 漏洞攻擊、無文件攻擊、APT 攻擊以及內部威脅等高級威脅。ISOC

102、利用 AI 技術解讀日志數據，識別系統故障、配置錯誤及異常行為。機器學習模型為每個用戶和實體構建行為畫像，實時監控行為，檢測異常。通過智能風險評分確定威脅等級，并觸發響應。深度學習則擅長序列行為分析和長期行為模式學習，結合集成學習可以進一步提高檢測準確率。這有效提升了對內部威脅和高級威脅的檢測能力，降低了誤報率，加強了賬戶安全，并加快了威脅響應速度。智能化優勢：智能化優勢：降低誤報率：通過學習用戶正常行為模式，減少誤報。提高威脅響應速度：及時發現和阻止內部威脅。檢測內部威脅：識別內部人員的不當行為或賬戶泄露。廠商案例廠商案例奇安信的 AISOC 在完成調查后會識別未被收錄的信息（如新型惡意文件

103、、攻擊者 IP 等），提取至威脅情報中心，實現內部情報生產。亞信安全新一代 XDR 平臺通過將 IOC 數據、威脅情報信息等數據進行碰撞、實現監測、分析、預測網絡安全風險威脅及威脅。綠盟科技整合綠盟風云衛 AI 和綠盟威脅情報平臺（NTIP），依托 AI 安全能力平臺的語義理解能力和推理分析能力，實現情報的智能融合與深度挖掘，并以自然語言的形式提供專家級解讀與分析。碳澤的千乘平臺對威脅情報進行信息提取，通過 ATT&CK 框架實現情報的落地應用，并通過情報進行自動化威脅評估、實現終端安全和郵件安全自動化。41第四章 ISOC 的典型應用場景5 5）事件調查）事件調查安全事件調查需要分析大量數據

104、、梳理脈絡、追溯源頭，傳統人工分析效率低且易出錯。ISOC 利用 AI 技術顯著提升了事件分析的效率和深度。知識圖譜技術能夠關聯不同來源的數據，構建事件關系圖譜，還原攻擊路徑，分析攻擊者特征。自然語言處理技術能夠自動生成事件摘要，方便分析師快速了解情況。機器學習模型可以輔助進行攻擊源定位、攻擊手段識別和根本原因分析。大語言模型（LLM）則能幫助快速生成調查報告。AI Agent 更可以自動化執行信息收集、關聯分析和初步調查任務。這些智能化手段幫助安全分析師快速、準確地了解事件來龍去脈，確定根本原因和影響范圍，為響應和處置提供更可靠的決策支持。智能化優勢：智能化優勢：提高事件調查的效率和準確性。

105、幫助安全分析師更快地找到事件的根本原因和影響范圍。為安全事件的響應和處置提供更全面的信息支持。4.34.3 事件響應事件響應安全事件響應需要快速、準確，傳統 SOC 手動響應方式效率低、易出錯。通過 AI 賦能，ISOC 可以實現安全事件響應的智能化和自動化，以及安全報告的自動生成，從而大幅提升安全運營的效率和效果，降低安全風廠商案例廠商案例奇安信的 QAX-GPT 利用智能關聯功能，關聯不同來源和類型的數據，發現數據之間的隱藏關系，構建完整的攻擊序列，從而更準確地判斷攻擊行為并及時發現潛在威脅。亞信安全的新一代 XDR 平臺，通過融合 TrustOne+TDA 行為關聯分析，結合異常行為分析

106、模型，結合實現對高級威脅的場景化分析，并結合云網端全視角監測異常行為。碳澤的千乘平臺針對釣魚場景，實現按需的特征化郵件自動分析，并根據結果自動進行決策，及執行攔截郵件、發送預警等后續動作。廠商案例廠商案例奇安信的 AISOC 提供溯源調查智能體，利用思維鏈推理將調查時間從天級縮短至分鐘級；綠盟科技 ISOP 平臺則能快速生成溯源遏制階段的推薦操作，給出推薦使用工具，輔助運營人員進行影響面分析。42第四章 ISOC 的典型應用場景險。事件響應應用場景ISOC 通過 AI 賦能實現安全事件響應的智能化和自動化，包括自動化響應、動態調整策略及報告自動生成等功能。大幅提升安全運營效率和效果，降低安全風

107、險，同時減輕分析師負擔并減少人為錯誤。特別是 AI 智能體的應用，使得 ISOC 能夠更智能地進行響應決策和自動化編排，提升事件響應效率和報告的快速生成。智能化事件響應1 1）自動化響應）自動化響應ISOC 利用 SOAR 平臺和 AI Agent 的賦能，顯著提升安全事件的響應速度和效率，縮短安全事件的響應時43第四章 ISOC 的典型應用場景間（MTTR），減少安全事件造成的損失，并實現更精細化和智能化的響應。AI Agent 根據事件的類型、影響范圍、風險等級以及當前的威脅態勢，利用機器學習模型進行智能決策，選擇最佳響應措施，并自動生成響應預案。這些預案隨后由 SOAR 平臺自動化執行，

108、通過與各種安全設備（如防火墻、EDR、IAM 等）的 API 集成，實現隔離主機、阻止 IP、禁用賬戶等操作。事后，AI 還可以利用強化學習技術，根據響應效果動態調整響應策略。這種自動化響應機制提高了響應效率，減輕了分析師負擔，降低了安全風險，并減少了人為錯誤。智能化優勢：智能化優勢：提高響應效率：快速響應安全事件，減少響應時間。減輕分析師負擔：使專家聚焦分析處理更復雜的安全問題。降低安全風險：及時阻止威脅擴散，減少安全損失。減少人為錯誤：自動化執行響應動作，避免人為操作失誤。2 2）報告自動生成）報告自動生成ISOC 能夠基于各種分析成果、指標性證據、推理邏輯和應對策略，進行全面的信息處理和

109、整合，自動生成詳盡的總結報告。AI 技術，特別是大語言模型（LLM），在此環節發揮重要作用。LLM 可以理解分析結果，并按照預設模板或特定要求（例如不同匯報對象），生成結構清晰、語言流暢、重點突出的安全報告，如安全事件報告、安全態勢報告、合規報告等。雖然目前有廠商反映，生成符合特定復雜格式要求的報告仍有挑戰，但自動化報告生成已大大減少了安全分析師的工作量，提高了報告的時效性和一致性。廠商案例廠商案例亞信安全新一代 XDR 平臺實現對檢測到的告警，將流量中的域名、IP、端口、時間等數據發送至 EDR，由 EDR 確認風險，通過 SOAR 給防火墻等防護設備下發封禁域名/P 信息命令；也可以檢測針

110、對釣魚攻擊進行檢測。碳澤的千乘平臺可以針對勒索病毒實現自動化阻斷，著眼于通過 AI 驅動的異常檢測模型和場景自動化實現全流程威脅檢測和智能支持。綠盟科技的 ISOP 平臺可以快速生成處置建議，自動生成響應腳本及防護規則并支持手工調整，下發到SOAR 自動執行。廠商案例廠商案例奇安信 AISOC 可以根據不同報告對象（如管理者、運營分析師）自動生成不同風格、不同關注點的安全報告，為管理層推薦后續治理和預警建議。44第四章 ISOC 的典型應用場景4.44.4 運營管理運營管理隨著安全運營業務范圍的擴大，涵蓋模擬演練、數據安全和合規評估等領域，傳統的管理方式面臨諸多挑戰。ISOC 通過引入人工智能

111、技術，特別是 AI Agent，實現了安全運營管理的高效智能化、自動化，能夠幫助企業更全面地進行資產管理、風險評估、合規評估，并提供智能化的決策支持，提升整體安全管理水平。運營管理應用場景ISOC 通過引入人工智能技術，特別是 AI 智能體，實現了安全運營管理的高效智能化、自動化，能夠幫助企業更全面地進行資產管理、風險評估和評估規范，并提供智能化的決策支持，提升整體安全管理水平。亞信安全新一代 XDR 平臺基于各種分析結果、指標性證據、推理邏輯和應對策略進行全面的信息處理和整合，匯總形成總結報告，可切換圖表格式，解析各類資產的威脅分析情況，支持訂閱生成日報、周報、月報，自動導出報告。45第四章

112、 ISOC 的典型應用場景智能化運營管理1 1）模擬演練）模擬演練傳統的安全演練投入大、場景單一、效果難評估。ISOC 利用 LLM 生成演練劇本，知識圖譜構建演練環境模型，強化學習訓練攻擊者 AI，GAN 生成惡意樣本，SOAR 編排防御流程，機器學習評估演練結果，NLP 和 LLM自動生成演練報告。這使得演練場景更真實、執行更高效、結果更可重復、評估更全面。智能化優勢：智能化優勢：更真實的模擬場景：更真實的場景，模擬更復雜，提高演練的效果。更高效地演練：自動化執行演練，減少人力和時間投入。更可重復的演練：可以多次重復執行演練，增強不同防御策略的效果。更全面地評估：全面評估安全團隊的應急響應

113、能力和安全防御水平。廠商案例廠商案例綠盟科技的 ISOP 平臺能夠有效地整合和分析相關數據，提高其釣魚場景的準確度。聯通數科的“社工釣魚專家”可以實現釣魚主題定制化、郵件內容專業化、郵件編寫自動化，模擬更真實的釣魚攻擊場景。46第四章 ISOC 的典型應用場景2 2）數據安全）數據安全面對數據資產不清、敏感數據識別不準、權限混亂、流動不可視、風險難評估等問題。ISOC 利用 AI Agent進行自動化數據資產發現和分類分級（利用 NLP、機器學習）；通過知識圖譜梳理數據訪問權限；結合 NDR和機器學習自動發現和繪制數據流地圖；利用 AI 模型進行數據安全風險評估；并根據評估結果自動生成或優化數

114、據安全策略（訪問控制、加密、脫敏等）；同時持續監控并動態調整策略。這實現了數據安全管理的全面性、準確性、實時性、自動化和可視化。智能化優勢：智能化優勢：全面性：更全面地發現和識別數據資產，覆蓋各種類型和位置的數據。準確性：更準確地識別和分類敏感數據，減少人工標記的錯誤和遺漏。實時性：實時監控數據訪問和流動情況，及時發現數據安全風險。自動化：自動化執行數據安全裝載的各個部分，提高效率，降低成本?？梢暬阂钥梢暬姆绞秸故緮祿踩F狀，幫助安全團隊更好地了解數據安全狀況。5 5）合規評估）合規評估傳統合規評估依賴人工解讀標準和檢查配置，效率低、易出錯、難覆蓋、更新慢。ISOC 利用 NLP 技術自

115、動解析法規、標準和策略，提取合規要求；AI Agent 自動調用工具進行配置核查，與合規要求比對，識別不符合項；基于知識圖譜關聯法規、資產、配置等信息進行合規性評估；并自動生成合規報告。這提高了合規評估的效率、準確性、覆蓋面和時效性，并支持持續監控。智能化優勢：智能化優勢：提高效率：自動化執行合規性檢查和評估任務，極大地提高工作效率。降低成本：減少人工檢查的工作量，降低合規成本。提升準確性：減少人為錯誤，提高合規性檢查的準確性和一致性。全面覆蓋：可以對企業的 IT 系統和安全措施進行更全面的合規性檢查，避免遺漏。及時更新：能夠及時跟蹤安全法規和標準的變化，并更新合規性檢查規則。持續監控：可以持

116、續監控企業的合規狀態，及時發現和整改不符合要求的項目。廠商案例廠商案例碳澤的千乘平臺利用智能分級引擎實現數據自動標注、自動生成數據跨境風險評估報告，實現數據管理效率大幅提升。安恒信息研發了數據安全的多個智能體，實現了數據分類分級、數據外發保護等功能，并取得了比較好的效果。47第四章 ISOC 的典型應用場景4.54.5 知識問答和專家輔助知識問答和專家輔助威脅告警研判需要一定的安全知識和專家經驗，傳統 SOC 主要依賴人員專家的分析，往往面臨專家短缺的困難，運用安全專業知識增強大語言模型具備針對安全領域的智能問答推理、問題解決和決策支持的專業能力，提高對流量、日志中的異常檢測和分析能力。知識問

117、答和專家輔助應用場景ISOC 可以利用智能體提供專業的安全知識，通過自然語言交互問答方式輔助分析師，獲取安全專業知識和系統業務數據以及圍繞安全運營、安全運維相關的措施手段，如推薦研判方法，提供詳細的相關資料，并生成實時的安全建議和指導方案支持專家的判斷等。廠商案例廠商案例奇安信 AISOC 可自動評估事件的合規風險；碳澤的千乘平臺實現自動生成合規審計包，形成三合一證據鏈，提高監管檢查準備時效和合規覆蓋度。48第四章 ISOC 的典型應用場景知識問答和專家輔助智能體智能化優勢：智能化優勢：識別潛在威脅。對采集到的數據進行實時分析，快速準確地識別出潛在威脅，減少人工干預。精準識別高價值告警。將安全

118、運營人員從海量告警中解放出來，聚焦關鍵威脅。廠商案例廠商案例奇安信的 AISOC 通過智能副駕駛模式，實現掌握安全狀態，引導事件調查和網絡安全知識問答等功能。綠盟科技的 ISOP 平臺通過輔助駕駛艙，賦能 SOC 團隊更快速、更準確地檢測、分析和響應安全威脅。亞信安全 XDR 通過知識問答進行術語解釋和知識科普等。神州泰岳 Ultra-SOMC 提供告警處置輔助建議、智能安全報告等功能。49第五章 國內外 ISOC 發展現狀第五章第五章 國內外國內外 ISOCISOC 發展現狀發展現狀智能化安全運營中心（ISOC）作為應對日益復雜網絡威脅的關鍵，其發展在全球范圍內呈現出蓬勃態勢。國內外在應用成

119、熟度、技術側重和市場特點上存在差異。國外 ISOC 市場起步較早，通過廣泛深入地應用人工智能技術，已在威脅檢測、自動化響應、風險管理等方面展現出顯著優勢，整體技術水平較為領先，代表了安全運營的先進方向。相比之下，國內智能化安全運營正處于快速發展和追趕的關鍵時期，在政策驅動、市場需求和技術創新的共同推動下，正積極探索符合國情的 ISOC 建設路徑。本章將分別剖析國外和國內 ISOC 的發展現狀，為國內 ISOC 的建設提供借鑒。5.15.1 國外國外 ISOCISOC 應用現狀應用現狀國外 ISOC 的發展已步入相對成熟的階段，智能化安全運營市場規模持續擴大，AI 技術得到廣泛而深入地應用，并與

120、 XDR、SIEM 等平臺深度融合，顯著提高了安全運營的智能化與自動化水平。同時，威脅情報應用成熟，云原生安全防護備受重視，整體技術水平保持領先。國外應用現狀1 1）市場規模持續擴大）市場規模持續擴大國外 ISOC 市場在技術創新（AI、ML、NLP、知識圖譜、SOAR 等）和網絡威脅加劇的雙重驅動下呈現顯50第五章 國內外 ISOC 發展現狀著增長。金融、電信、制造、醫療等行業對通過 ISOC 提升運營效率、降低成本、增強威脅應對能力的需求尤為迫切。數字化轉型加速、網絡安全威脅持續增長、IT 安全人才短缺及人力成本上升以及對運營效率和可靠性的追求，是驅動市場規模擴大的主要因素。在市場需求方面

121、，國外市場對安全運營的需求迫切，期望通過 ISOC 來提升安全運營效率、降低運營成本、增強威脅檢測與響應能力，并優化安全服務質量，ISOC 的應用得到充分、有效地幫助企業應對復雜的安全挑戰。市場規模擴大的驅動因素主要包括：數字化轉型加速：企業數字化轉型加速，業務系統極度復雜，傳統的人工操作難以滿足安全運營需求，ISOC成為必然選擇。網絡安全威脅持續增長：網絡安全威脅的復雜性、隱蔽性和破壞性不斷增強，傳統的安全運營模式面臨激烈的挑戰，ISOC 能夠提供更智能、更主動的防御能力。IT 人才需求不斷上升：全球范圍內 IT 人才需求不斷上升，特別是網絡安全人才需求不斷上升，促使企業尋求自動化解決方案。

122、運營效率和可靠性提升：ISOC 能夠顯著提高企業的安全運營效率和可靠性，減少人員出錯，縮短響應時間，降低安全事件造成的損失。2 2）AIAI 和機器學習技術的廣泛應用和機器學習技術的廣泛應用AI/ML 技術已成為國外 ISOC 的核心驅動力，在異常行為檢測、惡意軟件檢測、威脅情報自動化分析、自動化事件響應以及用戶行為分析等多個方面得到廣泛應用，并結合 AIAgent 提供智能決策支持。異常行為檢測：利用機器學習算法分析網絡流量、用戶行為、系統日志等數據，識別正常模式的異?；顒?，檢測未知威脅和內部威脅。惡意軟件檢測：利用機器學習和深度學習模型，分析文件、進程、網絡連接等特征，檢測已知和未知的惡意

123、軟件，特別是 0-day 攻擊和 APT 攻擊。威脅情報分析：利用 NLP 技術自動化收集、處理和分析威脅情報，提取 IOC、識別攻擊者的 TTP，將其應用到安全防御中。自動化事件響應：利用 SOAR 平臺和 AI 智能體，自動化執行安全事件的響應流程，例如隔離感染主機、阻止惡意 IP 地址、禁用用戶賬號等。用戶行為分析（UEBA）：利用機器學習算法構建用戶和實體的行為畫像，檢測異常行為，識別內部威脅和賬戶盜用。AI 輔助決策：AI 智能體為安全分析師提供決策支持，如風險評估、響應建議、調查線索等。51第五章 國內外 ISOC 發展現狀3 3）SIEMSIEM 與與 XDRXDR 融合融合 A

124、IAI 提升效能提升效能為克服傳統 SIEM 依賴規則、誤報高、分析負擔重等局限，國外 SIEM 和 XDR 平臺正積極融合 AI 技術。AI賦能行為分析和異常檢測，提升高級威脅（如 APT、0-day）的檢測能力；AI 驅動自動化響應流程；AI 輔助進行事件優先級排序，降低告警疲勞；AI 增強威脅情報的利用，實現更快速的威脅發現和更豐富的事件上下文。AI 技術的融合為 SIEM 和 XDR 帶來的增強：行為分析和異常檢測：AI 算法能夠學習正常的網絡和用戶行為模式，從而識別異?；顒雍蜐撛谕{，彌補傳統 SIEM 依賴規則的不足。高級威脅檢測：機器學習模型能夠檢測新型和未知的威脅，例如零日漏洞

125、攻擊和高級持續性威脅（APT），提高對高級威脅的檢測能力。自動化響應：AI 能夠自動化執行事件響應流程，例如隔離受感染主機和封堵惡意 IP 地址，計算響應時間。優先級排序：AI 能夠分析和關聯大量的安全數據，并判定事件的優先級，從而讓安全人員優先關注最重要的事件，降低同樣的疲勞。威脅情報增強：通過從多方渠道獲取的威脅情報，配合 AI 的分析，可以更快速地發現威脅，以及豐富事件的脈絡信息。4 4）威脅情報成為）威脅情報成為 ISOCISOC 基石基石廠商案例廠商案例CrowdStrike 的 Falcon 平臺：利用機器學習算法分析端點行為和威脅情報，以檢測和響應高級威脅。通過其 ThreatG

126、raph 技術，將海量的安全事件與威脅情報進行關聯分析，極大地提高安全分析師的工作效率。Palo Alto Networks 的 Cortex XDR 平臺：利用機器學習算法分析來自端點、網絡和云的數據，以檢測和響應異常威脅。通過 AI 分析海量的日志，快速定位行為，為安全分析師的事件溯源提供極大的便利，并利用 AI 來識別高級威脅、自動化事件響應并提供威脅情報。廠商案例廠商案例IBM Security QRadar 可以收集、關聯并優先排序安全事件。QRadar 平臺利用 AI 和機器學習技術，提供實時的安全分析和威脅檢測。能夠轉換收集、關聯和分析來自各種安全設備日志和來源的數據，幫助組織識

127、別和響應安全事件，可以實現海量安全信息的管理，并且通過 AI 的能力，可以將各種信息作為安全事件的優先程度，供安全運營人員判斷。Splunk Enterprise Security 利用機器學習和數據分析技術，幫助組織檢測和響應安全威脅，處理和分析海量日志數據，并提供強大的可視化和報告功能，擁有極高的平臺定制化能力，客戶可以將各種需要監控的信息導入 Splunk 平臺，并通過各類 App，實現非常詳細的數據監測。Microsoft Sentinel 作為云原生 SIEM/SOAR 解決方案，利用 AI/ML 提供智能化威脅檢測與響應，并緊密集成微軟云生態。52第五章 國內外 ISOC 發展現狀

128、威脅情報是國外現代安全運營的核心。成功的 ISOC 必須能夠有效地集成和利用多源威脅情報（開源、商業、行業共享等），并通過自動化技術（如 NLP、AIAgent）實現情報的實時采集、分析、關聯和應用，以支持主動防御和快速響應。威脅情報被廣泛用于豐富事件上下文、進行優先級排序、驅動威脅狩獵以及預測未來威脅。5 5）AIAI 保護云原生環境的安全保護云原生環境的安全國外隨著云計算的普及，AI 在云安全領域的應用日益重要，AI 在云安全領域的應用也日益增長。利用 AI實現云原生保障是一個快速發展的領域，融合人工智能的強大功能與云原生架構的敏捷性和可擴展性。目前的主要應用包括云上的自動化威脅檢測與響應

129、、容器安全、無服務器安全和安全運營管理：智能化威脅檢測與自動響應：智能化威脅檢測與自動響應：異常檢測：AI 算法分析云原生環境中的大量日志和指標，識別異常行為和潛在威脅。例如，未檢測授權的容器活動、異常網絡流量或不并行的 API 調用。實時威脅：AI 驅動的系統可以自動響應已識別的威脅，例如隔離受感染的容器、阻止惡意網絡流量或撤銷權限。威脅情報融合：AI 可以關聯來自各種威脅情報源的數據，識別已知的惡意 IP 地址、惡意軟件簽名和攻擊模式。這使得云環境能夠更快地檢測和響應已知的威脅。容器安全：容器安全：容器運行安全：AI 可以監控容器運行時行為，檢測異?；顒?，例如文件系統更改、進程執行或網絡連

130、接。這有助于阻止惡意軟件在容器內部執行。容器鏡像分析：AI 可以分析容器鏡像，識別潛在的漏洞、惡意軟件或配置錯誤。這有助于在部署之前確保容器鏡像的安全性。策略執行：AI 輔助自動化策略，實施在開發和運行期間，保障容器的安全配置。無服務器安全：無服務器安全：函數行為分析：AI 可以分析無服務器函數的行為，檢測異?；顒?，例如未經授權的訪問、數據泄露或非法代碼執行。事件驅動安全：AI 驅動的系統可以自動化響應無服務器環境中的安全事件，例如觸發惡意活動或更改配置的事件。廠商案例廠商案例CrowdStrikeFalcon 通過 ThreatGraph 關聯威脅情報以檢測惡意行為，并利用情報追蹤 APT

131、組織；Palo Alto Networks Cortex XSOAR 則利用威脅情報豐富事件上下文并自威脅情報是國外現代安全運營的核心。53第五章 國內外 ISOC 發展現狀安全態勢管理：安全態勢管理：自動化合規性檢查：AI 可以自動化執行合規性檢查，確保云環境符合行業標準和法規要求。例如，檢查容器配置、訪問控制和數據加密。預算管理：AI 可以幫助識別和優先級化云原生環境中的漏洞，例如容器鏡像中的已知漏洞或配置錯誤。這有助于減少攻擊面并提高整體安全性。云安全態勢管理（CSPM）：AI 可以輔助 CSPM 工具，自動監控云配置，檢測潛在的風險，并提供修復建議。6 6）未來將進入更加智能化、融合化

132、和云原生化的發展階段）未來將進入更加智能化、融合化和云原生化的發展階段未來，隨著 AI 技術的不斷進步賦予 ISOC 更強的智能決策和預測能力，實現“修復”的自主化運營系統。同時，ISOC 領域不斷拓展，形成更強的智能化。云原生 ISOC 將更加普及，提供靈活可擴展的智能化服務，并且安全性將得到極大提高，人工智能將實現對未知威脅的預判。智能化程度提升隨著人工智能和機器學習技術的不斷突破，ISOC 將具備更高級的智能決策和預測能力。系統不再能夠執行針對人工智能的預設數據自動化流程，而是根據進行智能分析，預測潛在問題，并自動采取預防措施。例如，通過分析歷史數據和趨勢，AI 能夠預測設備故障、網絡擁

133、堵或安全威脅，并在問題發生前進行修復或實時調整。這將極大提高網絡效率和可靠性，減少人為威脅。應用場景與領域不斷拓展。ISOC 的應用將不再局限于傳統的 IT 和網絡安全領域，而是將滲透到更廣泛的行業和領域中。智能制造、智慧城市、智慧醫療等領域將成為 ISOC 的重要應用場景。例如，在智能制造中，ISOC 能夠實現生產線的自動化監控和優化，提高生產效率和產品質量；在智慧城市中，ISOC 能夠實現城市基礎設施的自動化管理，提高城市運行效率和居民生活質量。云邊界與邊緣計算發展云原生 ISOC 將更加普及，提供靈活、可擴展的智能化服務。企業能夠根據自身需求，彈性調整 ISOC 的規廠商案例廠商案例Cr

134、owdStrike 的 Falcon 平臺利用 AI 來保護云原生工作負載，包括容器和無服務器的保護。Aqua Security 專注于云容器安全，提供 AI 驅動的平臺，用于保護、無服務器功能和 Kubernetes。Palo Alto Networks 的 Prisma Cloud 平臺提供 AI 驅動的云原生安全功能，包括 CSPM、CWPP 和容器安全。54第五章 國內外 ISOC 發展現狀模和功能，并實現跨地域的智能化管理。同時，邊緣計算的普及將推動邊緣 ISOC 的崛起。邊緣 ISOC 能夠將智能化功能部署到距離數據源更近的位置，實現更快速地響應和物流的延遲，滿足實時性要求的突發應

135、用場景。安全性與可靠性得到增強隨著網絡攻擊的復雜化和復雜化，ISOC 的安全性將得到高度重視。AI 和 ML 技術將被評估 ISOC 的安全防護中，實現威脅的提前預判、檢測和自動響應。例如，AI 能夠分析網絡流量和用戶行為，識別異?；顒雍蜐撛谕{，并采取自動防御措施。同時，ISOC 的可靠性也將得到增強，通過閃電設計和故障切換機制，確保系統的穩定運行。5.25.2 國內國內 ISOCISOC 市場應用現狀市場應用現狀國內的智能化安全運營（ISOC）正快速崛起，市場正呈現出需求強勁、競爭激烈的顯著特征，驅動著 ISOC市場顯現出令人矚目的發展前景。同時 ISOC 代表了安全運營的未來技術方向。I

136、SOC 將 AI 技術深度滲透到安全運營的威脅檢測、事件分析、響應到風險管理、安全策略優化等各個環節，各廠商積極探索 AI 在不同場景的應用創新，以 AI 深度融合、混合模型及云地協同等為標志向標準化演進。國內 ISOC 市場應用現狀1 1）國內市場潛力巨大，用戶期望高漲）國內市場潛力巨大，用戶期望高漲ISOC 市場正表現出巨大的發展和強勁的增長勢頭。根據安全牛 2025 年的用戶調查數據，國內大多數組織（90%）對 ISOC 的未來發展持樂觀態度，其中 33%的組織表示非常樂觀，認為前景廣闊，57%的組織表示比較樂觀，認為擁有顯著的預期發展勢頭。這種積極的態度也體現在實際行動和規劃中：目前已

137、有 10%的組織正在開展 ISOC 的實施，有 29%的組織正在測試運行階段。值得關注的是，在尚未實施的組織中，49%的組織計劃在一年內進行相關采購。55第五章 國內外 ISOC 發展現狀對智能化網絡安全運營未來的態度當前智能化安全運營中心實施情況一年內計劃采購情況2 2）市場集中在關鍵行業領域，逐步向外滲透）市場集中在關鍵行業領域，逐步向外滲透安全牛分析安全牛分析這種強勁的市場需求和樂觀預期，源于國內組織在安全運營方面普遍面臨的痛點。傳統SOC 模式下，海量報告數據帶來的“告警疲勞”、安全分析能力不足導致的威脅漏報、人工處理造成事件響應效率低下等問題凸顯。ISOC 通過引入人工智能、大數據分

138、析、自動化編排等先進技術，能夠有效解決這些痛點，大幅提升安全運營的效率、準確性和自動化水平。未來，隨著大模型等 AI 技術的持續進步、ISOC 在各行業應用效果的逐步顯現，以及應用場景的不斷精細化、其接受度和普及率將顯著提升，在國內市場擁有了顛覆的發展前景。56第五章 國內外 ISOC 發展現狀根據安全牛根據安全牛 20252025 年的調研數據年的調研數據，目前國內部署智能化網絡安全運營的行業主要集中在金融行業（24%）、政府機構（22%）、運營商行業（19%）、能源行業（13%）等關鍵領域。國內已部署組織的行業情況正是這些嚴峻的挑戰和迫切的需求，促使這些組織積極擁抱 ISOC。他們希望利用

139、人工智能、機器學習和自動化技術來突破運營困境，并已成為 ISOC 平臺測試與部署的先行者，尤其是在那些安全要求極高、數據規模龐大且擁有專業運營團隊的大型機構中表現得極其突出。他們希望通過統一的 ISOC 平臺或 AI 部署 Agent（智能體）來整合分散的安全資源，實現集中管控和高效協同，提升安全運營的整體水平，并利用大模型等先進技術解決實際業務問題，提升網絡安全防護能力。未來，隨著 ISOC 技術的持續成熟、典型案例的落地成功，云化/SaaS 化等多元化部署模式降低應用成本，智能化安全運營的需求必將逐步滲透到更廣泛的行業領域（如制造、醫療、教育等）和中小型企業群體，ISOC市場將迎來更加繁榮

140、的發展空間。3 3）廠商紛紛布局，市場競爭激烈）廠商紛紛布局，市場競爭激烈當前，智能化安全運營商（ISOC）已成為網絡安全領域的熱點，吸引了各大廠商積極布局，市場競爭日趨激烈。傳統安全廠商、云服務廠商、運營商、創新公司等不同類型的參與者都在基于自身優勢的基礎上，通過安全牛分析安全牛分析國內安全運營的轉型升級浪潮主要由這些關鍵行業引領。這些行業的組織通常具備以下特點：IT 基礎相對完善，積累了海量的安全數據；面臨復雜且高級的網絡安全威脅；接受嚴格的行業監管和合規要求；擁有相對完善的安全體系和運營團隊。但是，仍然普遍遇到傳統安全運營的困境：難以從海量數據中高效提取威脅情報、解決問題過大、安全事件響

141、應速度跟不上同步攻擊以及對 APT、0-day 攻擊等高級威脅的檢測和理解能力不足。57第五章 國內外 ISOC 發展現狀技術創新、產品迭代和服務升級，著力構建差異化的競爭優勢，以期在增長的 ISOC 市場中快速占據先機。綜合安全廠商：例如奇安信、亞信安全、綠盟科技、安恒信息、觀安信息、新華三等，憑借其在網絡安全領域多年的技術積累、廣泛的產品線優勢，積極探索 AI 技術與安全運營的深度融合，他們將 AI 能力注入現有的安全產品和服務（如 SOC、SIEM、SOAR、EDR、威脅情報平臺等），提升其整體智能化水平，推出現代化的 ISOC 解決方案或平臺，為客戶提供更全面、更智能的安全運營服務。S

142、OAR 平臺廠商：例如碳澤信息、神州泰岳、眾智維等，專注于安全編排、自動化與響應領域。這些廠商通過將 AI 技術融入 SOAR 平臺，提升其在日志分析、事件調查、響應決策等方面的智能化水平，實現更智能、更高效的安全事件響應。部分 SOAR 廠商還擴展了產品線，提供包含 SIEM 或 SOC 一體化的解決方案。運營商：以聯通數科為代表的運營商，憑借其在云網基礎設施、海量數據資源、廣泛客戶覆蓋等方面的獨特優勢，積極布局 ISOC 用戶市場。一方面利用自身資源構建 AI 云原生的安全平臺，為云上客戶端提供安全運營服務；另一方面，積極促進與安全廠商、IT 廠商建立廣泛的合作，構建開放的安全生態系統，提

143、供更智能的安全運營服務。云廠商：例如浪潮云等云服務廠商，依托其強大的云計算基礎設施優勢和廣泛的企業客戶基礎，強調構建成熟、便捷、易用的云安全運營服務體系。與安全廠商合作，并將安全能力與自身的云服務深度，提供面向多云、混合云環境的云安全運營服務。創新型公司：如探真科技、睿安致遠等創新型公司，重點關注 AI 安全技術的創新或特定場景的應用，例如威脅狩獵、欺騙防御、數據安全等，在產品的場景創新、高度兼容、易用性、靈活性和定制化服務等方面尋求突破，滿足用戶個性化的安全運營需求。目前，ISOC 市場的競爭焦點主要集中在 AI 技術與具體安全運營場景的融合、覆蓋范圍與落地能力、AI 模型的準確性/可解釋性

144、/可靠性、自動化響應的自動化與靈活性、安全大數據的處理能力等方面。未來，隨著智能化安全運營逐漸成為主流，技術引領提升，應用領域不斷擴展，單一廠商將越來越難以提供覆蓋所有的完整解決方案。同時，人工智能模型的訓練和優化高度依賴于海量、高質量的安全數據和威脅情報。安全牛預計，廠商之間的生態合作將成為未來發展的重要趨勢。技術合作、產品集成、數據共享、威脅情報共享、聯合解決方案等模式將更加普遍。通過生態合作，廠商可以實現優勢互補、資源共享、和諧創新，共同推動安全運營技術的發展和應用，為客戶提供更強大的保障安全。5.35.3 國內技術和應用現狀國內技術和應用現狀國內智能化安全運營領域正呈現出蓬勃發展的態勢

145、，安全廠商和部分領先企業積極探索和應用人工智能技術，推動安全運營從傳統模式向自動化、智能化轉型，技術與應用創新呈現出百花齊放的局面。58第五章 國內外 ISOC 發展現狀國內 ISOC 技術應用現狀1 1）安全運營平臺趨向統一集成、數智驅動的轉型升級）安全運營平臺趨向統一集成、數智驅動的轉型升級面對日益復雜的網絡威脅和不斷提升的安全運營要求，傳統的 SOC、態勢感知或 XDR 平臺普遍面臨數據孤島、分析效率低下、響應速度慢、自動化程度不足等挑戰。為應對這些挑戰，國內安全運營平臺正經歷一場深刻的數智化轉型，朝著統一集成、數據驅動、AI 賦能的方向發展。SOC 正向數智一體化升級這種轉型以安全大數

146、據為基礎，以 AI 技術為核心驅動力，深度集成 SOAR 等多種安全能力，旨在實現數據59第五章 國內外 ISOC 發展現狀驅動的威脅檢測、智能化的事件分析與研判、自動化的響應處置以及人機協同的運營模式，最終構建起覆蓋“事前預防、事中檢測與響應、事后總結與改進”全生命周期的閉環安全運營體系的統一集成平臺。數智化安全運營平臺的核心理念國內各大安全廠商都積極投身于數智化安全運營平臺的建設浪潮中，并結合自身優勢推出了各特色的產品和解決方案。廠商案例廠商案例亞信安全致力于打造“一個平臺，全網管理”的運營管理理念，強調通過統一平臺實現全網安全數據的采集、分析和指令下發，并積極探索大模型技術在安全運營各個

147、環節的應用。奇安信則將 AI 技術與現有安全體系深度融合，構建了 AISOC，并與 NGSOC 平臺緊密結合，實現數據共享、能力互補，其 QAX-GPT 安全機器人更是將大模型技術應用于威脅分析、事件調查和響應決策支持。碳澤注重安全運營流程的自動化，通過自主研發的 SOAR 平臺實現攻防兩端的場景劇本自動化，并集成AI 驅動的異常檢測模型。通過響應流程劇本化滿足智能處置各類安全事件的需求，利用自主研發的 SOAR 安全自動化編排平臺實60第五章 國內外 ISOC 發展現狀2）AI 應用創新呈現百花齊放的態勢國內安全廠商積極擁抱 AI 技術，將其與安全運營的各個環節深度融合，推動安全運營向自動化

148、、智能化方向發展。各廠商基于自身的技術積累、產品優勢和對客戶需求的理解，紛紛推出各具特色的 AI 創新應用，呈現出百花齊放的態勢。AI 應用的廣泛度和成熟度各廠商結合自身優勢，在安全運營的各細分領域進行 AI 應用的創新?，F攻防兩端的場景劇本自動化，并通過集成了 AI 驅動的異常檢測模型實現全鏈路威脅檢測。神州泰岳強調多源異構安全數據的自動化融合，構建全面的安全數據中心，并利用其 Ultra-SOAR平臺整合安全要素，實現海量安全數據的智能分析和安全運營的閉環管理。61第五章 國內外 ISOC 發展現狀AI 創新應用在威脅檢測方面，AI 技術的應用已相對成熟，廠商普遍將機器學習、深度學習等技術

149、融入 EDR、NDR/NTA、UEBA 等產品，構建 AI 驅動的威脅檢測引擎，有效提升對未知威脅、高級威脅和異常行為的檢測能力。在安全事件分析與調查方面，AI 技術正快速發展，廠商利用 NLP、知識圖譜、機器學習等技術，自動化進行信息收集、關聯分析、攻擊路徑還原、根本原因分析等，提高分析效率和準確性。自動化響應是 AI 應用的另一大熱點，SOAR 平臺與 AI 技術的結合日益緊密，AI 智能體開始發揮重要作用，實現安全事件的快速響應和處置，縮短響應時間，減少人工干預。廠商案例廠商案例亞信安全在其新一代 XDR 平臺中利用 AI 技術覆蓋了 12 大類安全領域的 100 多個高級威脅檢測場景。

150、神州泰岳利用神經網絡進行釣魚檢測和挖礦檢測。碳澤利用 AI 驅動的異常檢測模型進行全序列威脅檢測。廠商案例廠商案例奇安信的 QAX-GPT 的智能調查功能可通過智能化和自動化的調查流程，快速定位安全事件的根源。碳澤利用 AI 驅動的異常檢測模型進行全序列威脅檢測和事件調查。62第五章 國內外 ISOC 發展現狀3）智能化應用效果已經初見成效國內 ISOC 的建設和應用已取得初步成效，在多個方面展現出顯著優勢，特別是在告警降噪、安全事件分析、自動化響應、數據安全和運營管理等方面帶來了一定的應用效果。ISOC 應用實施效果根據安全牛 2025 年對廠商資料分析，主要的應用效果包括：告警降噪能力大幅

151、提升（如亞信安全 XDR 平臺智能過濾 98%無效告警，奇安信 AISOC 提高告警準確率 80%）、安全事件分析效率顯著提高（如碳澤千乘平臺實時推演攻擊鏈，亞信安全 XDR 平臺溯源效率提升 80%）、事件響應實效大幅加強（如亞信安全 XDR 平臺人工調查時間減少 93%，碳澤千乘平臺攻擊響應時效提升 97%）、數據安全能力顯著提升（如碳澤千乘平臺實現交易數據自動標注，數據拓撲效率提升 40 倍）、安全事件處理效率大幅提高（如奇安信 AISOC 單個事件響應效率提升約 80%，神州泰岳 Ultra-SOMC 效率提升 96%）、安全運營管理效果顯著提升（如奇安信 AISOC廠商案例廠商案例碳

152、澤則集中于通過 AI 驅動的異常檢測模型和場景自動化，實現全流程威脅檢測和智能執行，其自動化場景已覆蓋智能電網安全運營、自動化模擬攻擊、自動化郵件安全等 100 多個場景。亞信安全的新一代 XDR 平臺支持一鍵封禁、隔離主機等自動化響應操作。奇安信的 QAX-GPT 可以根據事件和嚴重程度，自動生成并執行最佳的響應策略。各廠商還結合自身優勢，在數據安全、代碼安全、DevSecOps、業務安全等細分領域進行 AI 應用創新。63第五章 國內外 ISOC 發展現狀單日工作成果提升數倍，碳澤千乘平臺合規覆蓋度大幅增加）。請注意，該效果數據來源于部分案例或特定場景，實際效果受到多種因素的影響，例如企業

153、的行業特點、IT 架構、安全體系成熟度、數據質量、安全團隊的技能水平，該數據僅供參考，并不代表所有企業都能取得類似的效果。4）大模型與基礎大模型與基礎 AIAI 技術協同并進，共筑安全運營智能化基石技術協同并進，共筑安全運營智能化基石國內安全廠商正積極探索 AI 大模型與基礎 AI 技術在安全運營中的協同應用，構建“大模型+基礎 AI 技術”的混合架構模式，以充分發揮各自優勢，實現更高效、更智能的安全運營。大模型與基礎 AI 技術混合架構大語言模型（LLM）憑借其強大的自然語言處理、知識整合、邏輯推理和內容生成能力，在威脅情報分析、事件安全理解與調查、安全策略生成與優化建議、智能安全問答系統、

154、自動化報告生成等方面應用相對集中。然而，受限于安全領域的特殊性，通用大模型在安全專業知識、數據安全、可解釋性等方面仍存在不足，因此，ISOCISOC 應用效果應用效果告警降噪（平均降噪率80%）告警準確率（提高80%）事件分析效率（部分場景提升80%）響應時效（縮短至分鐘級甚至秒級）數據分類分級（識別準確率90%）運營管理成本（部分場景節約50%）64第五章 國內外 ISOC 發展現狀將其與安全垂域大模型或針對特定任務的基礎 AI 技術相結合，正成為市場探索的主流模式。機器學習和深度學習的“基礎 AI 技術”在安全運營中的應用已較為廣泛和成熟，通常針對特定任務進行，具有資源消耗低、響應速度快、

155、可解釋性強、數據依賴性較低、部署靈活性等優勢，主要應用于威脅檢測、UEBA、數據處理與分析等場景?！按竽Ｐ?基礎 AI 技術”的混合架構，可以實現優勢互補：大模型負責全局分析、復雜推理、知識問答、安全編排等，提供宏觀決策支持；基礎 AI 技術負責具體的威脅檢測、異常識別、風險評估等任務，提供快速、準確的檢測結果。5 5）AIAI 智能體是安全運營的未來方向，當前仍處于探索期智能體是安全運營的未來方向，當前仍處于探索期AI 智能體作為能夠自主感知環境、進行思考和推理、做出決策并采取行動以實現特定目標的智能應用，代表了安全運營自動化發展的未來重要方向。AI Agent 具備自主性、反應性、主動性、

156、學習能力和推理能力等關鍵特征，可以模擬人類安全專家的模式，在安全運營中發揮行為更主動、更智能的作用。廠商案例廠商案例綠盟科技利用風云衛大模型實現智能化預警、日志網絡攻擊分析等功能。奇安信利用 LLM 大模型實現自然語言交互，提供智能化搜索、威脅推演、資產體檢和運營管理等功能。神州泰岳則利用安全大模型實現安全問答。廠商案例廠商案例新華三打造了 AIGC 生成式多模態安全大模型和安全評估模型等大模型，結合安全告警模型、安全告警優化模型、安全事件模型、成熟度評估模型、健康度評分模型等構成一個整體的運營調度平臺架構，并在安全事件檢測方面使用基礎 AI 技術。其他廠商，如觀安信息、聯通數科、聚銘網絡、安

157、致遠等廠商都在采用或探索這種“大模型+基礎 AI 技術”混合架構模式65第五章 國內外 ISOC 發展現狀AI 智能體是未來的方向目前，AI 智能體的應用主要集中在自動化安全響應、輔助安全調查和安全運營流程優化等方面。然而，更高級的、具備自主決策和主動威脅防御能力的 AI Agent 應用仍在探索中，技術成熟度、數據質量、可解釋性、安全性、成本等方面的挑戰仍有待解決。未來，隨著技術的進步和數據的積累，以及對 AI 智能體的持續探索，AI Agent 將在安全運營中發揮越來越重要的作用，推動運營向更高層次的自動化、智能化、自主化發展。6 6）DeepSeekDeepSeek 正成為流行趨勢，并與

158、各安全垂域大模型結合正成為流行趨勢，并與各安全垂域大模型結合通用大語言模型（以 DeepSeek 等開源模型為代表）擁有強大的自然語言理解和生成能力、廣泛的通用知識以及零樣本/少樣本學習能力，可以有效賦予安全問答、報告生成、威脅情報分析等場景。然而，通用 LLM在安全專業知識等方面存在不足。因此，國內安全廠商積極探索將通用 LLM 與安全垂域大模型（經過安全數據訓練）或基礎 AI 技術結合的“雙模型”或多模型架構，成為主流模式。這種模式下，通用 LLM 和安全垂域大模型可以協同工作，優勢互補。廠商案例廠商案例奇安信推出了告警關聯智能體、溯源調查智能體等，用于告警的關聯分析和事件的溯源調查；碳澤

159、將 AI 智能體融入工作流可視化編輯的步驟中，增強告警智能處理能力、自動化威脅情報分析、優化安全流程編排以及提升決策支持。安恒信息針對主機類告警研發了豐富的研判智能體，以及數據安全類智能體。綠盟科技、探真科技、眾智維、聚銘網絡、掌數科技等廠商也在積極探索 AI 智能體的應用。66第五章 國內外 ISOC 發展現狀這種混合架構潛力巨大，有望在未來推動安全運營向更高層次發展。DeepSeekDeepSeek安全垂域大模型安全垂域大模型“雙模型雙模型”或多模型架構或多模型架構強大的自然語言理解和生成能力：可以用于安全知識問答、安全生成報告、威脅情報分析等。廣泛的通用知識：可以提供更豐富的上下文信息，

160、幫助理解安全事件。零樣本/少樣本學習能力：可以通過少量樣本或樣本快速適應新的安全任務。更強的安全專業知識：通過大量安全數據（例如安全報告、漏洞信息、威脅情報等）的訓練，更熟練地處理安全相關的任務。更高的精度和可靠性：在安全領域上，經過改裝的安全領域大模型通常比通用大模型具有更高的精度和可靠性。更符合安全合規性要求：安全領域大模型通常在企業內部部署，可以更好地保護數據安全和隱私。通用大模型：負責處理自然語言交互、提供通用知識、生成報告等。安全領域大模型：負責進行威脅檢測、事件分析、風險評估、響應決策等。協同的工作：通用大模型可以將安全分析師的自然語言查詢轉化為格式化查詢語句，安全領域大模型根據查

161、詢語句進行分析和推理，將結果返回給通用大模型，由通用大模型以自然語言的形式呈現給安全分析師。國內許多安全廠商已經在混合 AI 架構方面進行了積極探索和實踐，并在威脅情報分析、安全事件理解與調查、安全策略生成、智能問答、報告生成等多個安全運營場景中展現出巨大潛力。廠商案例廠商案例綠盟科技將 DeepSeek 作為基礎模型，并與自研的風云衛安全垂域領域大模型結合，構建雙模型驅動的AI 安全運營體系；亞信安全積極探索結合 DeepSeek 等開源大模型，同時也在開發自己的安全領域大模型。浪潮云等其他廠商也在積極研究 DeepSeek 等開源大模型，并將其與自身的大模型平臺相結合。67第五章 國內外

162、ISOC 發展現狀未來，隨著 LLM 技術的不斷發展和安全領域數據的不斷積累，大模型與領域模型協同的混合 AI 架構將在安全運營中發揮越來越重要的作用，推動安全運營向更高層次的智能化發展。7 7）威脅情報應用得到普及，）威脅情報應用得到普及，AIAI 賦能情報分析和生成賦能情報分析和生成威脅情報已成為現代安全運營駕駛員的核心要素。廠商普遍認識到其在主動防御、威脅檢測、事件響應、風險評估、安全決策等方面的關鍵價值，將其廣泛集成到各自的安全產品和解決方案中。人工智能技術，特別是自然處理語言（NLP）、機器學習和知識圖譜，正在改變威脅情報的生產、分析和應用方式。尤其是 AI Agent技術，可以自動

163、化地從多個來源收集、處理威脅情報，提取 IOC、識別攻擊者 TTP、評估情報可信度，并利用知識圖譜進行關聯分析，構建威脅情報知識圖譜。尤其是人工智能技術，特別是自然語言處理（NLP）、機器學習和知識圖譜，正在改變威脅情報的生產、分析和應用方式。AI 智能體可以自動化地從多個來源（包括安全報告、博客、論壇、暗網、威脅情報共享平臺、商業威脅情報源等）收集威脅情報，并進行清洗、去重、標準化、格式化等處理。利用 NLP 技術，可以從非結構化的威脅情報數據中提取關鍵信息，例如 IOC（威脅指標）、攻擊者的 TTP（戰術、技術和程序）、漏洞信息、受影響的資產等。機器學習模型則可以對威脅情報的可信度、相關性

164、、及時性、準確性等進行評估，并進行優先級排序，幫助安全分析師篩選出高質量的威脅情報。知識圖譜技術可以將不同來源的威脅情報關聯起來，構建威脅情報知識圖譜，形成更全面的威脅情報視圖，并進行更深入的關聯分析，例如發現攻擊者之間的聯系、識別攻擊活動的模式等。廠商案例廠商案例聯通數科依托權威的情報運營專家團隊，結合 AI 技術，提供高質量的威脅情報服務，輔助情報的生成和分析，并為客戶提供精準的安全決策支持。觀安信息利用大模型泛化能力構建威脅情報智能體，實現對大量文件和專業情報報告關鍵信息的提取，實現對新型威脅行為的精確檢測。除此之外，奇安信、安恒信息、綠盟科技、神州泰岳等廠商也都在其安全產品和解決方案中

165、的各個環節中廣泛應用威脅情報，并將其廣泛集成到各自的安全產品、平臺和解決方案中。68第五章 國內外 ISOC 發展現狀8 8）低代碼）低代碼/零代碼零代碼 AIAI 平臺加速平臺加速 ISOCISOC 智能化落地智能化落地為了降低 AI 在安全運營中應用的技術門檻，提高效率和靈活性，并減少對專業 AI 人才的依賴，低代碼/零代碼 AI 平臺正成為 ISOC 建設的重要趨勢。低代碼/零代碼 AI 編輯平臺提供可視化、拖拽式、配置化的界面，使安全分析師等非 AI 專家能夠構建、定制和部署 AI 驅動的安全運營應用，例如可視化編排 AI 模型、安全運營流程和 SOAR 自動化腳本，利用預置的 AI

166、模型和組件，簡化 AI 模型訓練和調優等。低代碼低代碼/零代碼零代碼 AIAI 平臺的核心能力包括平臺的核心能力包括可視化 AI 編排，允許用戶通過圖形化界面將預置的 AI 模型、安全組件和邏輯控制組件進行拖拽式組合，構建自定義的 AI 分析流程和自動化響應流程；提供豐富的預置 AI 模型和安全組件，涵蓋威脅檢測、事件分析、響應處置、威脅狩獵等多個安全運營場景，用戶可以直接使用或進行少量修改即可滿足需求；自動化數據處理，提供自動化的數據預處理、特征提取等功能，簡化數據準備工作；簡化模型訓練和調優（可選），一些平臺提供簡化的 AI 模型訓練和調優工具，允許用戶使用自己的數據對模型進行微調；快速部

167、署和集成，支持將構建好的 AI 應用快速部署到 ISOC 環境中，并與現有的安全平臺（例如 SIEM、SOAR、EDR 等）進行集成；以及協同廠商案例廠商案例碳澤的千乘平臺提供了低代碼的 AI+SOAR 編輯平臺，允許用戶通過可視化界面編排多智能體系統應用，并將 AI 模型和自動化流程融入工作流中。安恒信息的智能體編輯平臺支持零代碼和低代碼開發智能體，推動了安全運營的定制化和智能化。眾智維致力于將人工流程轉變為自動化流程，并將自動化流程分解為劇本類的產品，實現開箱即用。除此之外，掌數科技、睿安致遠浪潮云和觀安信息也分別提供了低代碼 AI 智能體開發平臺，并推出了一系列相關產品和解決方案。69第

168、五章 國內外 ISOC 發展現狀的人機交互，提供友好的人機交互界面，支持安全分析師與 AI 協同工作。未來，低代碼/零代碼 AI 平臺將朝著更強的 AI 能力、更豐富的預置組件、更靈活的定制化能力、更好的可解釋性、更開放的生態等方向發展，并在 ISOC 建設中發揮越來越重要的作用。9 9）安全運營邁向量化管理，構建可度量的安全）安全運營邁向量化管理，構建可度量的安全安全運營的量化管理已成為智能化安全運營中心（ISOC）建設的重要趨勢和核心特征。通過建立一套科學、全面、可落地的安全運營指標體系，ISOC 能夠對安全運營的各個環節進行量化評估、持續監控和數據驅動的優化，實現安全運營效果的可簡化、可

169、評估、可改進、可展示，并為安全決策、資源分配和投資規劃提供監測、準確的數據支撐。這些指標涵蓋風險、檢測、分析、運營、管理、業務等多個環節。技術在指標的自動化采集、分析標準化、可視化呈現以及決策支持方面發揮著關鍵作用。國內安全廠商正在積極探索安全運營的量化管理，并將其融入 ISOC 解決方案中。安全運營量化管理的核心在于構建全面的指標體系。這些指標應覆蓋安全運營的多個方面，例如風險指標（資產風險評分、漏洞風險評分、威脅風險評分、攻擊路徑風險評分等）、檢測指標（威脅檢測率、告警準確率、誤報率、漏報率、平均檢測時間 MTTD 等）、響應指標（平均響應時間 MTTR、自動化響應率、事件處置完成率、事件

170、關閉率等）、運營指標（安全分析師工作負荷、告警處理效率、SOAR 劇本執行效率、安全運營成本等）、管理指標（安全策略符合率、安全配置合規率、漏洞修復率、安全意識培訓覆蓋率等）以及業務指標（安全事件對業務的影響、安全運營對業務的支撐效果等）。此外，安全運營成熟度指標也應納入體系，以衡量安全運營整體的成熟度水平。1010）云地協同：智能化安全運營平臺的新常態）云地協同：智能化安全運營平臺的新常態隨著云計算的普及和企業數字化轉型的深入，ISOC 正朝著云地協同的管理模式發展。云地協同模式將云端的安全能力（如 AI 分析、威脅情報、安全專家、彈性算力等）與本地的安全設備和系統進行深度集成（例如防火墻、

171、IDS/IPS、EDR、NDR、SIEM 等），實現優勢互補、協同聯動，構建更全面、更智能、更高效、增加彈性的安全運營體系。云地協同主要有云端分析+本地響應、云端情報+本地檢測、云端管理+本地執行等模式。廠商案例廠商案例奇安信 AISOC 在某案例中定制了 24 個安全運營指標，涵蓋效率提升、團隊投入和成果等多個維度，覆蓋資產風險、威脅告警、安全事件、人員配置、工作產出等安全運營工作，全面評估安全運營效果，輔助管理者進行安全決策和投資規劃。綠盟科技在網絡安全運營中心建設中設計運營度量的指標體系，并通過指標對比驗證來持續提升中心能力。新華三提出了“健康度”和“成熟度”雙指標體系，量化評估安全運營

172、工作的開展情況和安全運營效果。聯通數科則構建了實戰化安全運營量化指標體系，包括防守得分指標、攻擊得分指標、上報及時率指標、威脅情報準確率指標、漏洞發現與評估指標等，更貼近實戰攻防場景。70第五章 國內外 ISOC 發展現狀云地協同模式具有顯著的優勢。首先，它能夠充分利用云平臺的彈性可擴展的計算和存儲資源，應對安全數據量的激增和安全分析的復雜性。其次，云平臺可以提供更強大的 AI 分析能力，例如利用云端的大規模數據集訓練更精準的 AI 模型。此外，云端可以匯聚來自全球各地的威脅情報，并將其應用到本地安全設備和系統中，提高威脅檢測的準確性和時效性。云平臺還可以提供安全專家的遠程支持，幫助企業解決復

173、雜的安全問題。對于企業而言，云地協同模式可以降低本地安全運維的成本，提高安全運營的效率，實現對云端和本地安全資源的統一管理和監控，并利用云端的威脅情報和 AI 分析能力，實現更快速的威脅檢測和響應。同時，云平臺可以持續更新安全策略和 AI 模型，使本地安全防御能力保持最新。目前，云地協同主要有以下幾種模式：云端分析+本地響應，即本地安全設備收集數據并上傳到云端進行AI 分析，云端將分析結果和響應指令下發到本地安全設備執行；云端情報+本地檢測，即云端提供威脅情報，本地安全設備利用這些情報進行威脅檢測；云端管理+本地執行，即通過云端平臺對本地安全設備進行統一管理和配置，本地安全設備執行具體的安全策

174、略；部分云化，即將部分安全功能（例如日志存儲、UEBA、威脅情報分析等）部署在云端，本地部署核心安全能力；以及完全云化，即將所有安全功能都部署在云端，通過云服務的方式提供安全能力。國內各大安全廠商都在積極布局云地協同的安全運營平臺。廠商案例廠商案例亞信安全的新一代 XDR 平臺提供云網端融合分析能力，實現了云端分析和本地響應的協同。綠盟科技提供云端監控防護能力，并將行業云定位為未來重點發展方向。新華三與運營商共同推出的“安全大腦”則發揮了云端運維的便捷性和易用性。聯通數科、浪潮云、探真科技、聚銘網絡等也都采用云地協同模式，例如本地負責實時檢測，告警事件上報云端，云端專家進行精準研判，并下發研判

175、規則至本地。71第六章 ISOC 的建設指南第第六六章章 ISOCISOC 的的建設指南建設指南構建高效智能的安全運營中心（ISOC）是企業應對復雜網絡安全挑戰、保障數字化轉型成功的關鍵。ISOC的建設并非一蹴而就，而是需要結合企業自身的安全成熟度、業務需求、技術基礎和資源投入，進行戰略規劃、整體設計、分步實施和持續優化。本章將提供一個 ISOC 建設的實施框架，包括能力成熟度模型、建設原則，并針對不同成熟度階段的企業給出具體的建設方案和建議，旨在幫助企業制定切實可行的 ISOC 建設路線圖，逐步提升安全運營能力。6.16.1 能力成熟度模型能力成熟度模型為了幫助企業清晰地定位自身安全運營水平

176、，并規劃 ISOC 的演進路徑，我們引入 ISOC 能力成熟度模型。該模型從低到高劃分為五個等級，清晰地展現了 ISOC 從基礎建設到智能化、自主化運營的演進路徑及其核心特征。組織可以根據自身的實際情況，參考該模型，評估當前所處階段，制定符合自身發展需求的 ISOC 建設方案，并循序漸進地提升安全運營能力。ISOC 建設成熟度模型等級等級 1 1：初始級階段：初始級階段安全運營處于被動和無序狀態，主要依靠人工經驗和基礎安全設備（如防火墻、殺毒軟件）。缺乏系統化的安全能力、規范的流程和專業的人員。安全工具之間缺乏集成，數據孤立。風險識別主要依靠已知漏洞信息和人工經驗，難以應對復雜和未知威脅。事件

177、響應缺乏標準化流程，響應時間長，效果難以保證。安全管理缺72第六章 ISOC 的建設指南乏明確的策略和規范。員工普遍安全意識薄弱。階段特點：階段特點：主要依賴防火墻、IDS 等傳統安全設備進行基于規則的威脅檢測。缺乏高級分析能力，難以應對復雜威脅和未知威脅。并且安全工具之間缺乏集成，數據孤立。風險識別主要依靠人工經驗和已知漏洞信息進行風險識別。缺乏系統化的資產管理和漏洞管理方法。難以識別未知風險和新興威脅。檢測分析主要依靠基礎安全設備的告警，缺乏深入分析能力誤報率高，難以區分真實威脅和正常行為。缺乏對安全數據的有效利用。事件響應缺乏標準化流程，響應時間長，效果難以保證。事件處理主要依靠人工分析

178、和決策，缺乏自動化工具支持。難以進行事件溯源和根本原因分析。安全管理缺乏明確的安全策略和安全流程規范。主要依靠經驗和臨時措施，缺乏系統性和持續性。依賴個人經驗，缺乏一致性和可重復性。安全團隊規模較小，人員技能參差不齊。缺乏數據分析、威脅情報分析、安全自動化和 AI 相關技能。安全意識薄弱，缺乏對安全重要性的認識和培訓。等級等級 2 2：數據管理級階段：數據管理級階段開始關注數據的作用，引入 SIEM 等安全工具，建立基本的安全流程，例如日志集中管理、基于規則的威脅檢測等。但安全能力仍然有限，數據利用率不高，對威脅的響應主要依賴人工分析和決策。風險識別開始引入漏洞掃描等工具，但缺乏對資產和暴露面

179、的全面管理。安全管理開始關注數據安全和隱私保護，但缺乏具體的措施和規范。安全團隊開始接受培訓，技能有所提升，但缺乏深入的專業知識。階段特點：階段特點：部署 SIEM 等安全工具，開始收集和集中安全數據。能夠進行一些基于規則的威脅檢測和告警。初步應用自動化腳本，但缺乏高級分析能力和智能編排。風險識別開始引入漏洞掃描等工具，但缺乏對資產和暴露面的全面管理。能夠識別一些已知的安全風險，但對未知風險的識別能力仍然不足。檢測分析能夠通過 SIEM 等工具進行安全數據的集中存儲和查詢。能夠進行一些基于規則的簡單分析和告警，但誤報率仍然較高。數據質量和利用率有待提高。事件響應建立基本的事件響應流程，但流程執

180、行效果不穩定。仍然依賴人工分析和決策，缺乏智能化響應能力。安全管理開始關注數據安全和隱私保護，但缺乏具體的措施和規范。建立初步的安全策略，但執行力度不夠，缺乏持續改進機制。建立一些基本的安全流程，如漏洞掃描、安全事件響應流程等。但流程執行的規范性有所提高，仍然依賴人工干預和規則觸發。并且流程之間缺乏有效的協同。安全團隊開始接受安全培訓，技能水平有所提升。開始關注數據分析和安全工具的使用，但缺乏深入的專業知識。認識到安全數據的價值，但缺乏有效利用數據的能力。等級等級 3 3：自動化階段：自動化階段73第六章 ISOC 的建設指南建立了較為完善的安全能力體系和規范的流程。集成多源安全數據，建立較為

181、完善的安全數據平臺。利用威脅情報平臺和 UEBA 等技術進行行為分析和關聯分析。開始應用機器學習進行異常檢測，提高對未知威脅的檢測能力。利用 SOAR 平臺實現部分流程的自動化，如威脅情報收集、事件響應劇本執行等。事件響應流程規范化，并得到有效執行。安全團隊具備較高的專業技能，能夠對安全數據進行有效處理和分析，提取有價值的信息和情報。初步實現人機協作。階段特點：階段特點：集成多源安全數據，建立較為完善的安全數據平臺。利用威脅情報平臺和 UEBA 等技術進行行為分析和關聯分析。開始應用機器學習進行異常檢測，提高對未知威脅的檢測能力。利用 SOAR 平臺實現部分流程的自動化。如威脅情報收集、事件響

182、應劇本執行等。事件響應建立規范的事件響應流程，并得到有效執行。能夠對安全事件進行初步的調查和分析，確定事件的影響范圍和初步原因。利用 SOAR 平臺實現部分事件響應流程的自動化。安全管理建立較為完善的安全策略和規范，并得到有效執行。建立初步的安全運營指標體系，能夠對安全運營的效率和效果進行初步評估。開始使用安全可視化技術。建立規范的安全流程，并得到有效執行。流程之間實現較好的協同，提高安全運營的效率。具備較高的專業技能的安全團隊，包括安全工具使用、威脅分析、事件響應、數據分析等。如培養數據分析和威脅情報分析方面的專業人才。具備能提供輔助分析和自動化執行的工具或平臺。風險識別建立較為完善的資產管

183、理和漏洞管理流程。能夠基于威脅情報和行為分析進行風險識別。能夠對風險進行初步的評估和優先級排序。檢測分析能夠對收集到的安全數據進行有效地處理和分析，提取有價值的信息和情報。結合規則、統計分析和機器學習進行威脅檢測，提高檢測準確率。能夠進行一定程度的威脅情報分析和關聯分析。等級等級 4 4：智能化賦能級：智能化賦能級廣泛應用 AI 技術提升安全運營的智能化水平。深度學習等高級 AI 技術廣泛應用于威脅檢測、事件分析和響應。實現預測性安全，能夠基于數據和知識預測未來的安全威脅。自動化編排和響應能力顯著提升，開始具備自適應安全能力。能夠對安全事件進行深入的調查和分析，發現事件的根本原因，并形成安全知

184、識庫。安全團隊具備較強的數據分析和 AI 應用能力，建立完善的人機協同機制，AI 系統能夠為分析師提供數據驅動的決策支持，并自動化執行大量任務。階段特點：階段特點：深度學習等高級 AI 技術廣泛應用于威脅檢測、事件分析和響應。實現預測性安全，能夠基于數據和知識預測未來的安全威脅。自動化編排和響應能力顯著提升，實現自適應安全。風險識別能夠基于數據和威脅情報進行風險預測和評估。AI 賦能的漏洞優先級排序和攻擊面分析，能夠更準確地識別高風險漏洞和攻擊路徑。廣泛應用 AI 進行異常檢測、未知威脅檢測和深度分析。利用 UEBA、威脅狩獵等技術實現主動防御。AI 賦能的威脅情報分析和關聯分析，能夠更深入地

185、了解威脅的本質。大部分事件響應流程實現自動化，AI 賦能自動化響應處置。能夠對安全事件進行深入的調查和分析，發現事件的根本原因，并形成安全知識庫。74第六章 ISOC 的建設指南能夠基于數據分析結果，對安全策略和流程進行持續優化。構建安全知識庫，積累大量的安全運營經驗，并能夠通過 AI 技術進行知識發現和應用。安全團隊具備較強的數據分析和 AI 應用能力，能夠根據業務需求定制和優化 AI 模型。建立人機協同機制，AI 系統能夠為分析師提供數據驅動的決策支持，并自動化執行大量任務。等級等級 5 5：智慧自主級：智慧自主級AI 成為安全運營的核心引擎，安全運營體系具備自學習、自演進能力，實現高度的

186、智能化和自動化。能夠自主預測、檢測、響應和防御威脅。安全運營流程能夠根據數據分析結果自動調整和優化，實現自適應的智能化。實現安全運營的全流程自動化。安全團隊具備強大的 AI 研發能力，實現人機高度協同，AI 系統能夠像專家一樣思考和行動，安全分析師主要負責戰略規劃、創新研究和復雜決策。安全運營成為組織的核心競爭力。階段特點：階段特點：AI 技術深度融入安全運營的各個方面，實現全方位的智能化。安全運營體系具備自學習、自演進能力，能夠根據內外部環境的變化自動調整安全策略和流程。安全運營流程能夠根據數據分析結果自動調整和優化，實現自適應的智能化。實現安全運營的全流程自動化，包括風險識別、檢測分析、事

187、件響應和安全管理。安全團隊具備強大的 AI 研發能力，能夠自主開發和創新 AI 安全應用。實現人機高度協同，AI 系統能夠像專家一樣思考和行動，安全分析師主要負責戰略規劃、創新研究和復雜決策。風險識別 AI 深度融入風險識別，實現對風險的全面、主動、智能化的預測和評估。檢測分析 AI 賦能全方位檢測分析，能夠發現數據中隱含的模式和關系，預測未來的安全趨勢。能夠對安全事件和威脅進行全面的關聯分析和推理。事件響應流程能夠自適應優化。AI 賦能全流程自動化響應處置，實現“無人值守”安全運營。安全運營體系具備自學習、自演進能力，能夠根據內外部環境的變化自動調整安全策略和流程。實現安全運營的全流程智能化

188、管理，數據驅動持續優化。6.26.2 組織的組織的 ISOCISOC 建設原則建設原則ISOC 的建設應遵循以下關鍵原則，以確保項目成功落地，發揮預期價值，構建主動、智能、自適應的安全防御體系。75第六章 ISOC 的建設指南建設原則包括：建設原則包括：戰略導向，風險導向：ISOC 建設必須與組織的整體戰略、業務目標緊密對齊，并以業務安全需求為核心驅動力。同時，建設應以風險為導向，通過全面的風險評估確定建設重點和防御策略，確保安全投入聚焦于核心風險。整體規劃，分步實施：ISOC 建設需要進行全面的頂層設計，包括總體架構、技術路線、建設目標、實施計劃等。但實施過程應根據組織的實際情況，分階段、有

189、重點地逐步推進，可以采用“試點先行、逐步推廣”的方式，降低風險，積累經驗。數據驅動，AI 賦能：數據是 ISOC 的基礎，AI 是核心引擎。必須重視安全數據的全面采集、治理和利用，構建統一的安全數據湖。充分利用人工智能技術提升安全運營的智能化水平。平臺支撐，能力集成：選擇功能、性能、可擴展性、兼容性、安全性及成本效益較好的技術平臺，實現各平臺間的深度集成，打破數據孤島和能力孤島，實現數據共享和能力互補。人機協同，持續運營：充分發揮 AI 的優勢和人類的智慧，構建高效的人機協同安全運營模式。明確AI 與分析師的角色分工，建立持續運營和優化機制。ISOC 不是一次性項目，而是一個需要持續投入和改進

190、的長期過程。安全合規，保障可靠：ISOC 建設必須符合國家相關法律法規和行業標準要求（如等級保護、數據安全法等）。采取必要的技術和管理措施保護數據安全和隱私。對 AI 模型進行充分的測試和驗證，確保安全、可靠、可信，并建立完善的審計機制。循序漸進，注重實效：ISOC 建設應從解決最緊迫的安全問題入手，選擇能夠快速產生價值的場景進行試點，逐步擴大應用范圍。注重實際效果，選擇適合自身需求的技術和平臺，避免盲目追求“高大上”，并定期對 ISOC 的建設和運營效果進行評估和優化。76第六章 ISOC 的建設指南6.36.3 不同成熟度組織的不同成熟度組織的 ISOCISOC 建設方案建設方案ISOC

191、的建設是一個持續優化的過程，需要根據組織的實際情況和安全需求的變化，不斷調整和完善。以下針對不同成熟度階段的組織，提供 ISOC 建設方案建議，組織應結合自身實際情況，參考方案并制定切實可行的 ISOC 建設路線圖。6.3.16.3.1 初始級升級到管理級初始級升級到管理級主要目標是主要目標是建立基本的安全監控和響應能力，初步實現安全事件的集中管理和分析，提升對常見安全威脅的檢測和響應效率，滿足基本的合規性要求。1 1）建設內容：）建設內容：組建基礎安全團隊或引入服務：配備 1-2 名專職或兼職安全人員，明確其日常安全監控、事件分析和響應職責。進行基礎網絡安全知識和技能培訓。對于資源有限的中小

192、型企業，可以考慮引入 MSSP 提供安全服務支持。部署 SIEM 平臺并集中日志：選型：根據預算和需求選擇合適的 SIEM 平臺（開源或商業）。重點考察日志收集能力（覆蓋防火墻、服務器、核心應用等）、存儲、基礎分析和報表功能。部署：推薦采用集中式部署。實施：配置數據源，確保關鍵日志（防火墻、IDS/IPS、服務器、核心業務系統日志、殺毒日志等）能夠被有效采集、解析和存儲。從 SIEM 平臺自帶的規則庫開始，配置針對常見威脅（如暴力破解、端口掃描、已知惡意軟件）的檢測規則，并根據實際情況逐步調優，降低誤報。配置基礎的安全報表，用于日常監控和匯報。建立基本安全運營流程：制定清晰、簡單的安全事件分類

193、分級標準（例如按類型、影響、緊急程度分級）。建立基礎的事件響應流程（SOP），明確事件上報、初步分析、處置（如隔離、封禁）、記錄和報告的步驟。2 2）考核指標：）考核指標：安全團隊（或負責人）到位，完成初步培訓。SIEM 平臺穩定運行，關鍵日志接入率達到預期。事件響應流程建立并通過演練。常見威脅的檢測率和響應效率相比之前有明顯提升。4 4）案例案例77第六章 ISOC 的建設指南某公司建設案例某公司建設案例案例概況案例概況某制造公司一直以來面臨著“安全無專人”的困境，網絡安全管理較為薄弱，缺乏專業的安全團隊和明確的安全職責劃分。隨著業務的發展和數字化轉型的推進，公司意識到網絡安全的重要性，決定

194、采取一系列措施提升整體安全運營能力。公司希望通過建立專業的安全團隊、部署先進的技術平臺、采集關鍵安全數據以及規范安全運營流程，全面提升網絡安全防護能力，確保核心業務系統的安全穩定運行，同時有效應對各類安全威脅和事件。安全建設步驟安全建設步驟該制造公司安全建設包括建立安全團隊、部署集中式 SIEM 平臺、采集安全數據、建立安全運營管理流程四個主要步驟。1 1）建立具有明確職責的安全團隊）建立具有明確職責的安全團隊該制造公司為了改變“安全無專人”的現狀，從現有的 IT 部門中，選拔了一位對網絡安全有興趣的人，具備一定基礎的員工成為安全負責人，負責安全工作的整體規劃、協調和監督的職責，成為安全建設的

195、“領頭羊”。安全負責人與 IT 部門溝通了安全方面的職責。例如，服務器管理員則需要負責服務器的安全配置、漏洞修復和補丁管理；網絡管理員則需要關注網絡設備的安全配置、流量監控和預警78第六章 ISOC 的建設指南6.3.26.3.2 管理級升級到自動化級管理級升級到自動化級主要目標是建立完善的安全運營體系，實現安全事件的規范化管理和處置，提升安全運營的效率和可靠性，并開始應用威脅情報和自動化技術，向主動防御轉變。1 1）建設內容：）建設內容：SIEM 平臺深化應用：檢測。通過這種方式，將安全責任劃分到各個崗位，形成“人人有責”的安全隊列。同時引入了外部安全服務，主要提供重要安全事件的事件應急響應

196、服務，幫助企業快速處理緊急安全事件。并制定了安全培訓計劃。培訓內容包括安全基礎知識、常見安全威脅以及安全事件響應流程等。2 2）部署）部署 SIEMSIEM 平臺，集中安全日志平臺，集中安全日志該制造公司由于 IT 環境相對簡單，選擇了集中式部署 SIEM 平臺，并在數據中心部署了 SIEM 服務器。部署后，根據 SIEM 產品自帶的規則庫開始配置基本的安全事件檢測規則。例如，配置針對暴力破解、端口掃描、惡意軟件、異常登錄等常見威脅的檢測規則。此外，還配置了常用的安全報表，如安全事件統計報表、流量分析報表、安全報表等，以便向領導匯報安全情況。3 3）采集安全數據）采集安全數據SIEM 平臺需要

197、采集足夠的安全數據。對于該制造公司而言，采集的關鍵數據包括：網絡邊界數據：防火墻、IDS/IPS、WAF（Web 應用防火墻）等設備的日志和相關信息，可以幫助發現來自外部的網絡攻擊和入侵意圖。核心業務系統數據：ERP、MES、OA 等核心業務系統的日志，可以幫助發現針對業務系統的攻擊和異常操作。重要服務器數據：域控制器、文件服務器、數據庫服務器等重要服務器的日志，可以幫助發現針對關鍵基礎設施的攻擊和異常行為。終端安全）：在員工使用的終端設備上安裝殺毒軟件，并集中收集殺毒日志。4 4）建立基本安全運營流程，規范事件處理）建立基本安全運營流程，規范事件處理安全負責人牽頭建立了一套基本的安全運營流程

198、，以規范安全事件的處理，確保安全事件得到及時、有效地響應。首先，需要對安全事件進行分類分級，根據安全事件的類型（如惡意軟件感染、網絡入侵、數據泄露、拒絕服務攻擊、內部威脅等）和影響范圍、緊急程度等因素，將安全事件劃分為不同的類別和級別（如高、中、低）。并建立一個明確的安全事件響應流程，包括事件上報、分析、執行和報告等階段。一個簡單的流程示例如下：安全分析師（或安全負責人）通過 SIEM 平臺或其他途徑獲得安全告警，安全分析師對另外進行初步分析，確認是否為誤報。如果確認為安全事件，安全分析人員根據事件類型和級別，執行相應的響應操作，如隔離受感染的主機、封禁惡意 IP 地址、通知相關人員等。事件處

199、理完成后，安全分析師記錄事件處理過程和結果，并生成報告。79第六章 ISOC 的建設指南關聯分析：重點提升 SIEM 的關聯分析能力。根據業務場景和威脅情報，編寫更復雜的關聯規則，將來自不同安全設備的告警信息進行關聯，發現多階段攻擊行為。規則優化：持續優化告警規則，降低誤報率，提高檢測準確性?？梢暬ㄖ疲憾ㄖ瓢踩\營儀表盤，展示關鍵指標（KPI）和安全態勢。威脅情報平臺（TIP）部署與應用：情報源選擇：根據行業特點和威脅態勢，選擇合適的商業或開源威脅情報源。TIP 部署（可選）：如果情報源較多，可部署 TIP 平臺進行統一管理。SIEM 集成：將威脅情報（IOCs,TTPs）與 SIEM 集成

200、，用于豐富事件上下文，提升檢測準確性流程建立：建立威脅情報的收集、評估、處理、應用和共享流程。SOAR 平臺部署與應用：選型與部署：選擇合適的 SOAR 平臺，并與 SIEM、EDR 等關鍵平臺集成。劇本開發：從常見的、重復性高的事件響應場景（如惡意軟件感染、釣魚郵件、暴力破解）入手，開發自動化響應劇本。逐步自動化：先實現部分操作的自動化（如告警富化、生成工單、發送通知），再逐步實現更復雜的響應動作（如隔離、封禁）。關鍵技術：劇本編排、API 集成、自動化引擎。安全運營流程完善和優化：標準化：細化事件分類分級標準，完善事件響應流程，并將流程固化到 SOAR 平臺中。協同：建立與 IT 運維、業

201、務部門的協同流程，例如漏洞修復、配置變更等。評估與優化：定期對安全運營流程進行演練、評估和優化。團隊能力提升：培養安全分析師的關聯分析、威脅情報分析、SOAR 劇本開發等能力。2 2）考核指標：）考核指標：安全團隊能夠熟練使用 SIEM、TIP 和 SOAR 平臺。SIEM 誤報率降低，威脅檢測準確性提高。威脅情報得到有效利用。部分高頻、重復性事件實現自動化響應，事件響應效率提升。安全運營流程文檔化并有效執行。初步建立安全運營考核指標體系。3 3）案例案例80第六章 ISOC 的建設指南某企業智能化某企業智能化 SOARSOAR 平臺建設案例平臺建設案例案例概況案例概況某高科技企業隨著業務的快

202、速發展和數字化轉型的推進，面臨著日益復雜的網絡安全威脅。傳統的安全運營模式已經難以應對當前的挑戰，企業面臨著日益增多的網絡安全事件和有限的安全運營人員。為了提升事件響應效率，減輕安全團隊的工作壓力，該公司決定引入智能化的 SOAR（安全編排自動化與響應）平臺，以提升整體的安全防護能力和運營效率。安全建設過程安全建設過程首先該公司識別了日常安全運營中重復性高、耗時且易出錯的環節作為自動化的重要應用場景，例如惡意 IP 的封禁、病毒告警的初步處置、釣魚郵件的響應等。在此基礎上選擇并進行 SOAR 平臺的部署，選擇平臺時重點關注平臺的集成性，確保其能夠與目標場景需要的安全基礎設施（如防火墻、EDR

203、終端安全系統、入侵檢測系統、SIEM 系統等）以及 IT運維系統進行對接，利用安全組件提供的開放接口，將 SOAR 平臺能夠作為指揮樞紐，協調和調度各類安全工具執行自動化動作。在完成平臺的基礎部署和集成后，公司針對重要應用場景定義和編排安全劇本?；陬A先制定的安全事件處置預案，利用可視化流程編輯器，將人工分析和處置步驟配置為標準化的自動化工作流程。例如，針對檢測到的惡意 IP 攻擊場景，創建惡意 IP 的封禁劇本，該劇本能夠自動從告警列表中提取惡意 IP 信息，然后聯動防火墻下發封堵策略，并記錄整個處置過程。對于挖礦告警劇本，劇本可以自動將相關信息發送至 EDR 系統進行風險驗證，并根據 ED

204、R 的反饋聯動防火墻封禁相關的域名或 IP地址。為了應對不同的安全事件類型，持續開發了一系列的自動化劇本，覆蓋了如 Web 攻擊、暴力破解、病毒木馬、非法外聯、漏洞利用等常見威脅。81第六章 ISOC 的建設指南為了保證自動化響應的可靠性，在劇本上線前進行了充分的測試，并進行監控和調優。此外，因為意識到自動化并非適用于所有場景，因此 SOAR 平臺也支持手動觸發和人工干預，對于需要人工判定的復雜事件或未知事件，SOAR 平臺通過下發工單并提供執行概覽，協助人工判斷與執行。通過 SOAR 平臺的應用，該公司顯著提升了安全事件的響應速度和準確性，減輕安全運營人員的工作量，最終實現安全事件響應流程的

205、自動化閉環。隨著經驗的積累，后期準備基于 SOAR 平臺開發更復雜的自動化評估，例如與威脅情報集成形成自動化威脅狩獵劇本、與漏洞管理系統集成形成自動化漏洞處置劇本。某電商企業的某電商企業的 SOARSOAR 應用實踐：自動化響應釣魚攻擊應用實踐：自動化響應釣魚攻擊案例概況案例概況某電商企業作為互聯網行業的典型代表，面臨著日益復雜和頻繁的網絡安全威脅，尤其是釣魚郵件攻擊。釣魚郵件攻擊不僅可能導致用戶數據泄露，還可能引發更嚴重的安全事件，如賬戶被盜用、惡意軟件傳播等，對企業的聲譽和業務運營造成嚴重影響。為了有效應對這些威脅，提升安全運營效率，降低數據泄漏風險，該電商企業決定引入 SOAR 平臺，實

206、現釣魚郵件攻擊事件的自動化響應。在 SOAR 平臺部署和配置過程中，該公司首先將 SOAR 與已有的安全平臺進行了深度集成。通過 API接口，SOAR 平臺與 SIEM 平臺、EDR 平臺、郵件安全網關以及威脅情報平臺進行對接，使 SOAR 平臺能夠獲取 SIEM 的信息、EDR 的終端數據、郵件網關的郵件檢測結果以及 TIP 的威脅情報，并能夠調用這些平臺的功能執行響應操作。82第六章 ISOC 的建設指南6.3.36.3.3 自動化自動化級級升級為智能輔助級升級為智能輔助級完成集成后，安全團隊針對釣魚郵件攻擊場景創建了一個名為“釣魚郵件自動響應”的流程。該流程以 SIEM 檢測到的釣魚郵件

207、相關事件作為觸發，一旦觸發，就會自動執行一系列預定義的操作。首先，SOAR 平臺會自動從 SIEM 獲取有關事件的詳細信息，包括郵件主題、發件人、方案、URL 鏈接、附件信息等。從郵件內容、URL 鏈接、附件中提取出關鍵詞，例如發件人郵箱地址、URL、域名等。接著，SOAR 平臺會自動查詢威脅情報平臺，判斷這些 IOC 是否與已知的惡意 IOC 匹配。如果是惡意的，那么通過 IAM（身份和訪問管理）系統接口禁止出訪的用戶賬號，防止攻擊者利用被盜取的權限進行非法訪問。最后，SOAR 平臺會自動向安全分析師和出訪的員工發送通知，告知事件詳情并已采取的措施。如果安全分析師判斷為中風險事件，則給用戶發

208、送安全提醒。最后，SOAR 平臺會自動記錄所有執行的操作和結果，并生成事件響應報告，為安全團隊的事后分析和審計提供響應。在“釣魚郵件自動響應”后，該公司的釣魚郵件攻擊事件響應效率得到了顯著提升，從收到通知到執行完成隔離、阻止等關鍵任務。響應整個過程往往只需要幾十甚至幾個操作，遠快于過去的人工響應操作方式。大部分響應操作都由 SOAR 提供平臺自動執行，安全分析師只需進行審核和確認，很大程度上減輕了分析師工作負擔，也有效降低了人犯錯誤的可能性，使響應更規范、更可靠，并且有效阻止了釣魚攻擊的進一步泄露，降低了數據泄露和業務中斷的風險。83第六章 ISOC 的建設指南主要目標是主要目標是建立量化的安

209、全運營體系，實現安全運營的精細化管理和持續改進，引入 AI 技術提升對未知威脅、高級威脅和內部威脅的檢測、分析和響應能力，實現人機協同。1 1）建設內容：）建設內容：構建安全大數據平臺：數據湖/增強型 SIEM：升級或構建能夠處理海量、異構數據的安全數據湖或增強型 SIEM 平臺。數據治理：建立完善的數據治理體系，確保數據質量。數據處理能力：具備實時流處理和離線批處理能力。引入 AI 安全分析平臺。選擇采購商業 AI 安全分析平臺，或基于開源框架自建。模型訓練與優化：需要利用企業自身的安全數據對 AI 模型進行訓練和優化。從成熟的 AI 應用場景（如告警降噪、惡意軟件檢測）開始試點，逐步擴展應

210、用范圍。部署 UEBA 平臺：接入足夠的數據源（如 AD 日志、VPN 日志、數據庫日志、EDR 數據等），確?；€模型的準確性；將 UEBA 告警與 SIEM、SOAR 集成，實現聯動響應。深化 SOAR 應用與智能化：復雜劇本：開發更復雜的自動化響應劇本，例如自動化威脅狩獵、自動化漏洞修復等。AI 輔助決策：AI Agent 可以根據事件上下文推薦最佳響應劇本或響應措施。自適應響應：AI Agent 可以根據響應效果動態調整響應策略。建立量化指標體系與持續改進：指標定義與采集：定義關鍵安全運營指標（KPIs），如 MTTD,MTTR，告警準確率，漏洞修復時間等，并利用平臺自動化采集。分析與

211、優化：利用 AI 技術對指標數據進行分析，識別瓶頸，驅動流程和策略的持續改進?？冃шP聯：將量化指標與團隊績效掛鉤，激勵團隊提升。2 2）考核指標：）考核指標：安全團隊具備較強的安全分析、事件調查和基礎 AI 應用能力。SOAR 平臺廣泛應用，大部分安全事件響應流程實現自動化。UEBA 平臺有效運行，能夠檢測到內部威脅和未知威脅。量化的安全運營指標體系建立并常態化運行。安全運營效率和效果（如 MTTD、MTTR、準確率）得到顯著提升。3 3）構建威脅情報平臺案例構建威脅情報平臺案例84第六章 ISOC 的建設指南某能源企業的威脅情報應用實踐某能源企業的威脅情報應用實踐案例概況案例概況某能源企業作

212、為關鍵基礎設施行業的代表，面臨著日益復雜和嚴峻的網絡安全威脅。為了有效應對這些威脅，提升整體的安全防護能力，該企業決定在安全運營中引入威脅情報，并采取分階段、分步驟的方式進行部署和應用。目標是通過威脅情報的引入和應用，提升威脅檢測的準確性和效率，減少誤報和漏報，增強安全運營的主動防御能力，并優化安全策略和監控措施。同時，企業希望借助威脅情報實現更高效的威脅狩獵，主動發現潛藏在企業網絡中的威脅，從而更好地保護企業資產和業務安全。某能源企業在部署威脅情報時，他們采取了分階段、分步驟的方式：情報源接入情報源接入該能源企業首先梳理了自身需要的威脅情報類型，包括惡意 IP 地址、惡意域名、惡意文件哈希、

213、漏洞信息、攻擊組織信息（APT）、行業威脅情報等。然后，他們逐步接入了多個威脅情報源，如購買了某商業威脅情報、訂閱了某開源威脅情報、并加入了能源行業的信息安全共享聯盟，獲取行業內的威脅情報，并且將安全團隊在日常安全運營和事件響應流程中發現的威脅情報，也記錄到威脅情報平臺中，平臺會自動對來自不同情報源的數據進行清洗、去重、標準化處理，將不同格式的情報數據轉換為統一的格式，并提取出關鍵的 IOC。情報分析與評估情報分析與評估該能源企業的安全團隊利用威脅情報平臺提供的分析工具，對收集到的威脅情報進行分析與評估。如分析不同情報源之間的關聯關系，例如，某個惡意 IP 地址是否與某個已知的攻擊組織相關聯。

214、分析威脅情報的時間分布和變化趨勢，了解當前的威脅。并根據威脅信息的類型、來源、可信度等因素，評估其對企業資產的潛在威脅。情報應用情報應用該能源企業將威脅情報與 SIEM 平臺、SOAR 平臺以及防火墻、EDR 等安全設備進行了集成。首先，威脅情報平臺將經過處理和評估的威脅情報（例如惡意 IP 地址、惡意域名、惡意文件等）提供給 SIEM 平臺。SIEM 平臺利用這些威脅情報，可以提升威脅檢測的準確性和效率。例如，當 SIEM 平臺檢測到某個 IP地址與企業內部主機通信時，會自動查詢威脅情報，判斷該 IP 地址是否為已知的惡意 IP 地址。其次，威脅情報平臺為 SOAR 平臺的自動化響應腳本提供

215、威脅情報支持。例如，在處理釣魚郵件攻擊事件時，SOAR 平臺可以自動查詢威脅情報，判斷郵件中的 URL 或附件是否為惡意。85第六章 ISOC 的建設指南4 4）構建）構建 AIAI 分析平臺案例分析平臺案例為了保證自動化響應的可靠性，在劇本上線前進行了充分的測試，并進行監控和調優。此外，因為意識到自動化并非適用于所有場景，因此 SOAR 平臺也支持手動觸發和人工干預，對于需要人工判定的復雜事件或未知事件，SOAR 平臺通過下發工單并提供執行概覽，協助人工判斷與執行。通過 SOAR 平臺的應用，該公司顯著提升了安全事件的響應速度和準確性，減輕安全運營人員的工作量，最終實現安全事件響應流程的自動

216、化閉環。隨著經驗的積累，后期準備基于 SOAR 平臺開發更復雜的自動化評估，例如與威脅情報集成形成自動化威脅狩獵劇本、與漏洞管理系統集成形成自動化漏洞處置劇本。某銀行構建某銀行構建 AIAI 分析平臺案例分析平臺案例案例概況案例概況某銀行作為一家大型金融機構，隨著數字化轉型的加速，其業務系統和數據資產面臨著日益復雜的網絡安全威脅。傳統的安全運營中心（SOC）在應對海量告警、人工分析壓力以及新型威脅方面逐漸顯得力不從心。為了提升威脅檢測和響應的效率與智能化水平，該銀行決定對其現有的安全運營中心進行升級，構建一個強大的 AI 分析平臺，以更好地應對當前的安全挑戰。AI 分析平臺建設目標是實現智能化

217、的告警處理、威脅情報分析和安全事件響應，從而提升整體的安全運營效率和智能化水平。實施過程示意圖86第六章 ISOC 的建設指南首先，針對銀行當前安全運營面臨海量告警、人工分析壓力大、新型威脅不斷涌現等挑戰，確定了 AI平臺的幾個關鍵應用方向，包括智能化的告警分診和研判，自動化的威脅情報分析和管理，以及輔助安全事件的智能調查和響應。在規劃和設計時，銀行考慮到數據安全和合規性要求，以及對性能的較高需求，選擇了部署本地化的大模型，并關注到 AI 智能體結合大模型和各種安全工具，實現更智能化的自動化任務執行，因此計劃構建一個混合的 AI 平臺，包含通用的大語言模型，也包含針對安全領域垂直優化的子模型或

218、基礎 AI 技術架構。功能包括利用知識圖譜技術關聯不同來源的安全數據，展示完整的攻擊鏈路；通過自然語言交互實現智能化搜索、威脅推演，以及 AI 報告生成、安全策略建議等方面。銀行 AI 安全分析平臺架構由于該銀行已構建的數據中臺，因此該銀行根據具體目標場景，著手進行數據平臺的數據接入，并采集、存儲和處理來自各種安全設備（防火墻、入侵檢測系統、終端安全產品）和 IT 系統的日志、告警和流量數據，進行數據標準化和清洗，為 AI 模型提供高質量數據。然后，該銀行與專業的安全廠商合作，將大模型和垂直領域基礎 AI 技術對接安全廠商的安全知識庫、威脅情報和惡意樣本數據，優先在告警分診、威脅情報分析和安全

219、報告生成等相對成熟的 AI 應用場景進行試點測試。計劃收到效果后，再逐步開發異常行為分析、威脅狩獵、漏洞優先級排序和輔助事件調查等更復雜的 AI 應用。在 AI 應用開發過程中，該銀行非常重視 AI 的可解釋性和信任度問題。嘗試探索利用更多數據進行訓練、提供結果的同時提供思考過程等手段來提高 AI 決策過程的透明度，并進行充分的驗證和測試，以確保 AI 分析結果的準確性。最后，該銀行認為 AI 雖然能自動化處理大量重復性任務，但最終的決策和復雜事件的處理仍然應該由安全專家進行審核和決策。因此，在自動化處理流程環節增加專家審核和反饋的環節，以提升安全運營的準確性和提高學習能力。通過以上步驟，該銀

220、行逐步構建起了一個為其智能化安全運營中心提供強大支持的 AI 平臺，實現了更有效地應對日益復雜的網絡安全威脅。87第六章 ISOC 的建設指南6.3.46.3.4 智能輔助級升級為自主級智能輔助級升級為自主級主要目標是主要目標是實現高度智能化、自動化和自適應的安全運營，AI 成為安全運營的核心引擎，安全系統具備自學習、自演進能力，能夠自主預測、檢測、響應和防御威脅，安全運營成為組織的核心競爭力。1 1）建設內容）建設內容AI 技術的全面深度應用：將 AI 技術深度融入安全運營的各個環節，實現全方位的智能化。廣泛應用深度學習、可解釋 AI（XAI）等更前沿的 AI 技術。構建更復雜、更精準的 A

221、I 模型，例如多模態融合分析模型、自適應安全策略模型等。AI Agent 的自主化應用：AI Agent 不僅提供建議，更能自主決策和行動。實現多 Agent 協同，Agent 負責不同任務，共同完成復雜的安全運營目標。AI Agent 具備強大的自主學習和進化能力，能夠根據環境變化自動調整策略。安全運營平臺的自適應能力建設：安全平臺能夠根據當前的威脅態勢、風險評估結果、業務變化等因素，自動調整安全策略和檢測規則。實現預測性安全，能夠基于數據和知識預測未來的安全威脅，并提前采取預防措施。構建自愈合的安全系統，能夠自動發現和修復安全漏洞或配置錯誤。安全數據湖的智能化應用：安全數據湖不僅用于存儲數

222、據，更成為 AI 模型訓練、知識圖譜構建、威脅狩獵的智能分析平臺。利用 AI 技術對數據湖中的數據進行深度挖掘，發現隱藏的模式和關聯。人機協同模式的高度進化：AI 系統能夠像專家一樣思考和行動，承擔絕大部分安全運營任務。安全分析師的角色轉變為戰略規劃者、創新研究者、復雜決策者和 AI 監督者。人機交互更加自然流暢，例如通過自然語言進行深度對話和協作。安全知識體系的自主演進：構建動態的安全知識圖譜和知識庫，AI Agent 能夠自動學習、更新和應用安全知識。2 2）考核指標）考核指標安全團隊具備強大的 AI 研發和創新能力。AI Agent 高度自主化運行，能夠有效提升安全運營的各個方面。安全運

223、營平臺具備強大的自適應能力。安全運營的智能化水平達到業界領先。能夠有效防御各種已知和未知的復雜攻擊。安全運營成為企業的核心競爭力。88第六章 ISOC 的建設指南3 3）關注點）關注點隨著人工智能技術在安全運營中心（ISOC）的深入應用，安全分析師的角色將逐步從傳統的“規則工程師”“告警分析師”轉變為“AI 訓練師”“AI 監督員”和“安全策略架構師”。這不僅需要高效具備傳統的安全技能，還需要掌握人工智能相關的知識和技能。企業需要加強對安全分析師的培訓，幫助他們實現角色轉型，才能充分運用人工智能技術，構建更智能的安全運營體系?！癆IAI 訓練師訓練師”角色角色：負責 AI 模型的全生命周期訓練

224、管理，包括數據準備、模型、模型調優、模型評估、模型部署和模型監控等，確保 AI 模型能夠在實際安全運營環境中發揮最佳效果。數據分析能力：理解數據：能夠理解安全數據的含義、來源、類型、格式等，并識別出數據的潛在價值。數據處理：掌握數據清洗、數據轉換、提取等數據挖掘技術。數據標注：能夠對安全數據進行高精度的標注，例如標注不良樣本、識別錯誤和漏報等，為 AI模型提供數據。數據分析：能夠利用數據分析工具，對安全數據進行探索性分析，發現數據中的模式和規律。AI 模型知識：模型原理：了解常見人工智能模型（例如機器學習、深度學習、NLP、知識圖譜等）的基本原理、優缺點和適用場景。模型選擇：能夠根據具體的安全

225、運營場景和數據特點，選擇合適的 AI 模型。模型調優：掌握 AI 模型的參數調優方法，例如網格搜索、隨機搜索、貝葉斯優化等。模型評估：能夠使用合適的指標（如準確率、識別率等）對 AI 模型的性能進行評估。模型部署：解 AI 模型的部署方式，例如將模型部署到 EDR、NDR、UEBA 等平臺中。AI 平臺使用：熟悉工具：熟練使用 AI 安全分析平臺、機器學習平臺、深度學習框架等工具。模型訓練：能夠利用這些平臺和工具進行 AI 模型的訓練、調優和部署。模型監控：持續監控 AI 模型的狀態。模型更新：根據新的威脅數據和安全分析師的反饋，對 AI 模型進行更新和優化?！癆IAI 監督員監督員”角色角色

226、：負責監控 AI 智能體和 AI 驅動的安全平臺的運行狀態，審核 AI 的分析結果和決策建議，并在必要時進行人工干預，確保 AI 技術在安全運營中的應用安全、可靠、有效。所需能力：AI 結果審核：審核和確認：對 AI 模型的分析結果進行審核和確認，判斷結果的合理性和可信度。誤報識別：能夠識別 AI 模型的誤報，并進行分析和處理。漏報識別：能夠發現 AI 模型的漏報，并進行補充分析。AI 決策干預：安全決策：能夠在緊急情況下快速判斷 AI 智能體的決策是否合理，并在緊急情況下進行干預。風險評估：能夠評估 AI 智能體決策的潛在風險，并采取相應的措施進行控制。人工接管：能夠在 AI 智能體無法處理

227、的復雜情況下，接管安全事件的處理。89第六章 ISOC 的建設指南AI 安全與合規：安全意識：關注 AI 技術在安全運營中應用的安全問題，例如數據隱私保護、算法偏差等。合規意識：了解相關法律法規和行業標準，確保人工智能技術在安全運營中的應用符合合規性要求。安全審計：能夠對 AI 的行為進行安全審計，發現潛在的安全風險?！鞍踩呗约軜嫀煱踩呗约軜嫀煛苯巧巧贺撠煂?AI 能力與企業整體安全戰略相結合，設計和優化安全策略，并推動 AI賦能的安全運營體系的持續改進。具體能力：安全戰略理解：深入理解企業的安全戰略和業務目標。安全架構設計：將 AI 能力封裝到安全架構設計中，例如設計 AI 驅動的安

228、全檢測、AI 驅動的安全響應體系等。安全策略制定：根據 AI 的能力和特點，制定和優化安全策略。安全流程優化：將 AI 能力封裝到安全運營流程中，并進行流程優化。溝通協調能力：與不同的團隊（如 IT 運維團隊、業務部門等）進行有效的溝通和協調，推動 AI安全項目的落地實施。6.46.4 中小型組織中小型組織 ISOCISOC 建設方案建設方案中小型組織由于預算、人才、技術等方面的限制，通常難以自建完整的 ISOC。建議考慮采用以下方案：SaaS 化 ISOC 平臺：選擇由安全廠商或云服務提供商提供的 SaaS 化 ISOC 平臺，可以按需訂閱安全服務，降低建設和運維成本。安全托管服務（MSSP

229、）：將安全運營的全部或部分職能外包給專業的 MSSP，由 MSSP 提供 7x24 小時的安全監控、威脅檢測、事件響應等服務。建設基本能力：集中資源建設基本的安全能力，例如日志管理（SIEM）、終端安全（EDR）、網絡安全（防火墻/IPS）等，并逐步引入自動化和智能化能力。充分利用云安全服務：如果業務部署在云上，可以充分利用云服務提供商提供的安全服務，例如云 WAF、云 DDoS 防護、云安全中心等。加強安全意識培訓：由于技術防護能力相對較弱，更需要加強員工的安全意識培訓，減少人為因素導致的安全風險。6.56.5 ISOCISOC 在各行業的解決方案在各行業的解決方案國內各行業對智能化安全運營

230、中心（ISOC）建設的重視程度普遍提高，但發展階段和水平存在顯著差異：金融、運營商、互聯網等行業頭部組織已率先構建較為成熟的 ISOC，并廣泛應用 AI、大數據等技術實現高級威脅檢測、自動化響應和智能決策；能源、政府等關鍵基礎設施行業正加速推進 ISOC 建設，重點關注工控安全、威脅情報共享和應急響應能力；制造、醫療、教育等行業 ISOC 建設尚處于起步階段，面臨安全意識、預算和人才等多重挑戰。6.4.16.4.1 金融行業解決方案金融行業解決方案90第六章 ISOC 的建設指南國內金融行業基本已經完成 SOC 的建設，金融行業普遍積極引入 AI 技術，如 UEBA、威脅情報分析、自動化響應等

231、，逐步向智能化 SOC 轉型。而中小機構正在積極跟進。金融行業特點和挑戰：金融行業特點和挑戰：金融行業需要滿足不斷變化的嚴格的監管合規要求。金融行業擁有大量的客戶數據、交易數據等敏感信息，確保數據不被非法訪問或泄露是一個重要問題。IT 架構復雜，系統多，新技術應用快，業務高度依賴 IT 系統，業務連續性要求極高，金融交易中斷可能導致巨大經濟損失和社會影響，面臨嚴峻的網絡攻擊和欺詐風險。安全人員少，金融行業面臨專業安全人員缺乏的問題，難以滿足日益增長的安全需求，并且海量的日志數據分析和處理能力不足。網絡威脅的嚴峻性和復雜性不斷增加，傳統安全運營模式難以應對。智能化典型應用：智能化典型應用：統一的

232、智能化安全運營平臺，針對安全分析能力受限、安全數據噪音過大、安全事件處置效率低、常態化運維響應慢等問題，橫向貫穿孤立設備，打破數據孤島，利用多種智能化技術，實現對網絡安全威脅實時感知和精準研判，為各級安全運營人員快速發現、處置安全威脅提供有力支撐?；?AI 的威脅情報平臺：利用自然語言處理、知識圖譜等技術進行情報分析和關聯，利用 NLP、知識圖譜等技術進行情報分析和關聯，提供精準的威脅預警?；?AI 的安全編排與自動化平臺：利用 SOAR 技術，自動化安全事件響應流程，例如惡意軟件隔離、漏洞91第六章 ISOC 的建設指南修復、賬號取消等?；?UEBA 的用戶行為分析系統：監測用戶行為異

233、常，識別內部威脅和賬戶盜用?；?AI 的安全設備感知平臺：整合內部外部安全數據，提供全方位、可視化的安全設備，輔助安全決策?；?AI 的威脅狩獵平臺：利用機器學習等技術，主動搜索網絡中的潛在威脅。利用智能問答助手：快速提升初級安全人員運營能力。6.4.26.4.2 政府行業解決方案政府行業解決方案政府部門 SOC 建設水平較高，普遍建立安全監控和應急響應中心，并積極應用 AI 技術進行威脅情報分析、APT 攻擊檢測、網絡安全裝載等。并且各地政府正在積極推進政務云和智慧城市建設，ISOC 是其中的重要組成部分。行業特點：行業特點：政務系統通常比較復雜，涉及多個部門和層級，并且安全等級要求高。

234、掌握大量政務數據、公民個人信息等敏感數據。滿足不斷變化的嚴格的監管合規要求。服務范圍廣、影響大：一旦發生安全事件，可能影響政府形象和社會穩定多層安全域：政府網絡通常劃分為多個安全域，不同安全域之間需要進行隔離和訪問控制，需要實現對各地市網絡安全威脅的實時感知和精準研判。專業安全人員缺乏等多方面問題。APT 攻擊威脅嚴重，攻擊目標明確，攻擊手段，潛伏期長。數據泄露事件頻發，對國家安全和社會穩定造成嚴重影響。傳統安全防御手段難以應對新型網絡攻擊92第六章 ISOC 的建設指南智能化典型應用：智能化典型應用：基于人工智能的網絡空間資產測繪系統：自動發現和識別網絡空間中的各類資產，評估資產的安全風險，

235、例如識別暴露的端口、脆弱的服務、未授權的設備等?；谥R圖譜的網絡安全資源平臺：構建網絡資產、漏洞、威脅等關系的知識圖譜，提供全面的安全知識圖譜，并利用 AI 技術進行威脅分析、風險評估和預測?？绮块T安全信息共享平臺：實現不同政府部門之間的信息共享和協同防御，例如威脅情報共享、漏洞信息共享和應急、響應協同等?；谌斯ぶ悄艿母呒壨{檢測系統：利用深度學習、知識圖譜等技術，檢測和阻止 APT 攻擊，例如識別惡意代碼、異常網絡等?；谥R圖譜的網絡安全資源平臺：構建網絡資產、漏洞、威脅等關系的知識圖譜，提供全面的安全知識圖譜，并利用 AI 技術進行威脅分析、風險評估和預測?；?AI 的安全編排、自

236、動化和響應（SOAR）平臺：自動化安全事件響應流程，例如同樣分診、威脅確認、隔離、調查取證等?；谧匀徽Z言處理的輿情分析系統：網絡輿情監測，及時發現和處置不良信息，如輿情信息、謠言等。6.4.36.4.3 能源行業解決方案能源行業解決方案頭部能源組織正在積極推進 ISOC 建設，但整體水平仍有待提升，部分組織已建立安全監控中心，但智能化水平較低。AI 技術主要檢測工業控制系統（ICS）異常檢測、誤檢測等少數場景。能源組織更關注 IT/OT 融合安全，工控安全智能化，威脅情報驅動，應急響應能力提升。93第六章 ISOC 的建設指南安全運營面臨的挑戰：安全運營面臨的挑戰：安全事件頻發，勒索軟件攻擊

237、、APT 攻擊等對能源行業威脅嚴重。OT/IT 融合帶來新的安全風險，需要統一的安全防護。傳統安全技術難以有效保護 ICS 系統。安全專業人才缺乏，安全運營維護能力不足。安全意識薄弱，員工很容易成為社會工程學攻擊的目標。智能化典型應用：智能化典型應用：基于 AI 的工業異常檢測系統：利用深度學習等技術，學習 ICS 系統的正常行為模式，檢測異常流量、異常操作、異常協議等。工業防火墻/隔離網閘：實現 OT 網絡與 IT 網絡的安全隔離，防止 IT 網絡的威脅擴散到 OT 網絡。工業安全威脅感知平臺：整合 OT 和 IT 的安全數據（如設備狀態、網絡流量、安全日志、漏洞信息、威脅情報等），提供統一

238、的安全威脅視圖，并利用 AI 技術進行威脅分析、評估和預測?；跀底謱\生的工業安全仿真與演練平臺：構建 ICS 系統的數字孿生系統，進行安全風險評估、攻防演練和策略驗證?；谌斯ぶ悄艿墓I安全風險評估系統：自動化評估工業控制系統的安全風險，并提供初步建議。6.66.6 常見實施問題和建議常見實施問題和建議傳統安全運營（SOC）通常面臨事件警報疲勞、應急響應緩慢、高級威脅檢測能力不足等挑戰，目前各組織正積極升級 SOC 到智能化安全運營（ISOC），但是在建設 ISOC 過程中常遇到各種挑戰，針對這些挑戰，安全牛 2025 年調研企業用戶和廠商訪談近，匯總了以下常見問題和建議：1 1）企業現在是

239、否應該建設大而全的智能化安全運營平臺）企業現在是否應該建設大而全的智能化安全運營平臺在智能化安全運營（ISOC）建設過程中，我們經常會遇到一個誤區，認為一定要建設一個龐大的、無所不能的 AI 平臺，才能實現安全運營的自動化。然而，由于 AI 技術應用的不成熟，這種“大而全”的思路，往往會導致項目周期長、投入大、效果不明顯，甚至可能項目失敗。根據安全牛訪談，在實際項目中，更精細的場景下可以解決 AI 的誤報等問題，快速體現 AI 的價值，建議 ISOC 建設不應追求“大而全”，應該“小步快跑”“精而準”的快速實現急需解決的特定精細場景。安全牛分析安全牛分析AI 在安全運營中的價值，智能化安全運營

240、（ISOC）建設應該“小步快跑”，不應追求“大而全”，而是應體現“精而準”。簡單來說，就是從最容易上手、能夠快速產生價值的場景入手，逐步推進 ISOC 建設。這種方法的核心思想是：選擇那些能夠快速解決實際問題、提升安全運營效率的場景，各地著手，逐步擴大應用范圍，避免“一口吃個胖子”再通過不斷的反饋和優化，不斷提升 AI 在安全運營中的應用效果。比如知識問答、某類安全事件的溯源和自動化響應。94第六章 ISOC 的建設指南2 2）在）在 ISOCISOC 建設過程中會面臨哪些數據治理的挑戰建設過程中會面臨哪些數據治理的挑戰在 ISOC 建設的道路上，首先會遇到一個巨大的挑戰數據治理。數據是 IS

241、OC 的基礎，沒有高質量的數據，自動化、智能化的安全運營就類似于空中樓閣。并且數據治理問題在現實中，往往比我們想象的要復雜。我們經常會遇到以下數據挑戰：數據孤島問題：組織內部通常配置來自不同廠商、不同型號的安全設備，這些設備產生的數據格式各不相同，彼此之間缺乏互通性，形成一個“數據孤島”。數據質量問題：安全設備產生的數據可能存在錯誤、缺失、重復等問題，這些質量低的數據會嚴重影響人工智能的分析和判斷，導致誤報、漏報等情況。數據量爆炸問題：隨著安全設備的普及和網絡流量的增長，安全數據量呈爆炸式增長。如何高效存儲、處理和分析海量數據，成為亟待解決的問題。數據合規性問題：數據通常包含敏感信息，如用戶信

242、息、業務數據等。在數據采集、存儲、處理和分析過程中，應注意利用匿名、混淆等技術進行處理。好處是好處是快速見效：小場景落地快，能夠快速展現 ISOC 的價值，增強團隊信心。通過實際的應用案例，讓領導和同事看到 AI 在安全運營中的潛力。降低風險：小步快跑，降低項目風險，避免“大而全”帶來的不確定性?？梢栽谛》秶鷥冗M行測試和驗證，及時發現和解決問題。持續優化：通過不斷地迭代和優化小場景，我們可以逐步積累經驗，為后續的 ISOC 建設打下堅實的基礎?？梢詫⒊晒Φ慕涷瀼椭频狡渌麍鼍?，逐步擴大 AI 的應用范圍。更精準的回報投資：可以在小場景中更輕松地確定投資率，可以更有效地申請到更多的預算。安全牛分析

243、安全牛分析因為組織往往忽視在規劃階段對明確數據需求的重要性。沒有明確的目標，無法預知為什么需要哪些數據，也無法選擇合適的設備，到建設后期才發現數據中斷，往往為時已晚，成本高昂。數據是 ISOC 的基石。只有打好數據基礎，我們才能充分發揮 AI 的潛力，讓安全運營真正智能起來。建議：建議：規劃先行，目標明確：在 ISOC 建設之初，需充分了解自身的風險狀況和業務需求，明確需要哪些數據來支撐安全運營。例如：若需進行用戶行為分析，則需要設備能夠提供詳細的用戶日志，若需進行流量分析，則需要設備能夠提供全面的網絡流量數據。設備選型、數據匹配：在選擇安全設備時，不僅要關注其功能，更要關注其數據輸出能力，確

244、保能夠提供所需的數據?？梢砸笤O備廠商提供詳細的數據字典，了解其數據格式和內容。95第六章 ISOC 的建設指南3 3）企業應選擇本地還是云端的部署模式？）企業應選擇本地還是云端的部署模式？企業在建設智能化安全運營中心（ISOC）時，面臨的一個關鍵決策是選擇哪種部署模式：本地部署、云端或混合模式。不同的部署模式各有優劣。主要模式包括：主要模式包括：本地部署模式：本地部署可以更好地滿足其對數據安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發和集成。大型組織通常擁有龐大而復雜的自主 IT 基礎設施、完善的安全運營體系和專業的安全團隊，面臨復雜的安全威脅和嚴格的合規要求，安全預算相對充裕

245、，對數據安全和可控性有更高的要求。建議對于具備以上特點的大型組織，本地部署可以更好地滿足其對數據安全、隱私保護和自主可控的要求，并能夠更靈活地進行定制化開發和集成。但是注意，本地部署 ISOC 的前期投入，需要專業的團隊進行建設和運維。云端模式：云端模式可以降低 ISOC 的建設和運維成本，并提供專業級的安全運營服務，中小型組織的特點是 IT 基礎設施相對簡單，安全團隊規模有限或缺乏，安全預算有限，對安全運營的專業性要求較高，但自身難以滿足。建議中小型組織選擇云端的 ISOC 通常是更經濟、更高效的選擇，可以使中小型組織也能夠享受到先進的安全防護能力?；旌夏Ｊ剑ū镜?云）：混合模式結合本地部署

246、和 SaaS 模式的優點，可以根據不同的業務需求和安全需求，將不同的安全功能部署在本地或云端。建議對于一些大型組織，可以考慮采用混合模式?？梢詫⒑诵牡陌踩珨祿桶踩δ懿渴鹪诒镜?，將一些非核心的安全功能部署在云端，或者將云端作為本地 ISOC 的補充和擴展。以下是需要考慮的其他因素：以下是需要考慮的其他因素：專業的安全運營團隊。自建 ISOC 需要專業的安全團隊進行建設、運維和管理。如果企業缺乏專業的安全團隊，云端的 ISOC 或托管安全服務（MSSP）可能是更合適的選擇。IT 基礎設施和安全體系。企業要考慮 IT 基礎設施的規模和復雜程度，ISOC 需要與現有的 IT 基礎設施進行集成。如果

247、 IT 基礎設施龐大而復雜，本地自建 ISOC 的負載和成本會更高。并且 ISOC需要與現有的安全設備和系統進行聯動。如果企業缺乏基本的安全設備和能力，ISOC 可能無法有效地工作。數據安全性和合規性。對于數據安全和隱私保護有要求的企業（例如金融、醫療等行業），可能數據治理，貫穿始終：數據治理不是一蹴而就的，而是一個持續的過程。要建立完善的數據治理體系，包括數據采集、存儲、清理、轉換、分析等階段。采用數據湖、數據倉庫等技術，實現數據的集中存儲和管理。數據智能化：制定并采用通用的數據標準，實現不同設備和系統之間的數據交換和共享。數據安全合規：建立完善的數據安全管理制度，確保數據在整個生命周期內的

248、安全性。96第六章 ISOC 的建設指南更傾向于本地自建 ISOC，以保證數據的安全和可控。預算和成本。本地自建 ISOC 的前期投入較多，包括硬件、軟件、人力等方面的投入。SaaS 化的ISOC 通常采用訂閱模式，前期投入較低，但長期成本需要綜合考慮。定制化和靈活需求。不同的企業面臨不同的安全需求和合規需求，本地自建 ISOC 可以提供更高的定制化和靈活性，但需要更強的技術實力。云端的 ISOC 提供的功能通常是標準化的，定制化能力有限。并且本地自建通常更容易實現與其他內部系統進行深度集成。企業在選擇 ISOC 部署模式時，需要綜合考慮并根據自身的實際情況做出最佳選擇。4 4）如何轉變思路，

249、從而獲得高層領導的支持？）如何轉變思路，從而獲得高層領導的支持？在 ISOC 建設過程中，我們經常會遇到這樣的挑戰：如何讓領導充分了解 ISOC 的價值，并持續投入經費？畢竟建設需要資金的支持。如果無法證明 ISOC 的價值，就很難獲得領導的支持。要解決這個問題，我們需要轉變思路，從“技術驅動”轉變為“價值驅動”，用數據說話，用事實證明 ISOC 能夠為組織帶來真正的價值。安全牛分析安全牛分析領導關注的不是技術本身，而是技術能夠帶來的價值。讓我們用數據和事實，贏得領導的信任和支持，建議：明確指標量化：在 ISOC 建設之初，需要設定明確的量化指標，如事件響應時間、威脅監測率、運營成本降低等。這

250、些指標應該與組織的業務目標相關聯，能夠清晰地反映 ISOC的價值。持續測量效果：通過持續測量和分析，我們可以了解 ISOC 的實際效果，并及時調整優化?？梢远ㄆ诎l布 ISOC 的運營報告，向領導展示其成果和價值?？梢暬故荆簩⒘炕笜撕头治鼋Y果以可視化的方式呈現，一目了然地了解 ISOC 的價值?？梢圆捎脠D表、儀表盤等方式，直觀地展示 ISOC 的運營情況。從點著手，逐步擴大：通過一個小而成功的案例，展示 ISOC 的潛力，并以此為基礎，逐步擴大應用范圍，爭取更多預算?？梢赃x擇一些容易量化和展示的場景，如知識問答、事件溯源等。強調商業價值：不僅要強調 ISOC 的技術優勢，更要強調其商業價值。

251、例如：ISOC 可以提高安全運營效率，降低運營成本；可以提升威脅檢測能力，降低安全風險；可以增強客戶信任，提升品牌形象。構建安全運營成熟度模型：使用該模型來簡化組織在流程、技術和人員方面的成熟度。通過評估模型顯示持續性的改進，這對于獲得更多的預算和保持持續性改進至關重要。97第七章 ISOC 優秀案例研究第第七七章章 ISOCISOC 優秀案例優秀案例研究研究（按廠商首字母排序）（按廠商首字母排序）通過對國內智能化安全運營中心（ISOC）應用的典型案例進行深入細致地剖析，為企業提供可汲取的實踐經驗，并提煉 ISOC 建設的成功要素和最佳實踐。從這些案例中，我們可以清晰地看到 ISOC 在提升安

252、全運營效率、效果和體系化水平方面的巨大潛力。隨著人工智能（AI）技術的不斷發展和應用場景的不斷拓展，ISOC 必將在企業安全防御體系中發揮越來越重要的作用。7.17.1 典型案例一典型案例一 某金融機構安全運營平臺升級案例（綠盟科技提供）某金融機構安全運營平臺升級案例（綠盟科技提供）（1 1）案例背景）案例背景近年來，隨著金融科技的快速發展和數字化轉型的深入推進，某省級農信機構的業務越來越依賴于信息系統和網絡。移動支付、在線購物、云服務等數字化產品和服務的普及，在推動數字經濟快速增長的同時，也使得該農信面臨著嚴峻的網絡安全挑戰。作為金融行業的重要組成部分，該農信機構不僅需要遵守國家網絡安全法律

253、法規和金融行業監管要求，還需要應對各種復雜的網絡攻擊和數據安全威脅。為了業務保障的連續性、數據的安全性和客戶的隱私，該農信機構持續加強網絡安全建設，構建了完善的安全防御體系。（2 2）用戶挑戰）用戶挑戰近兩年，某省級農信機構正大力推進網絡安全能力建設，內部構建了不同廠商的安全設備，如各類檢測設備、態勢感知、防護設備等，實際現狀依然仍然是海量告警，投入的人員數量多，但是效率低。并且隨著攻擊手段的不斷升級和攻擊頻率的不斷提高，該農信機構現有的安全運營中心（SOC）在應對海量、高級威脅、內部威脅等方面逐漸力不從心。為了進一步提升安全運營的效率和效果，該農信機構決定與綠盟科技合作，在提供一體化 AI

254、安全運營平臺的同時，引入 AI 大模型能力，以解決上述問題。（3 3）案例實施）案例實施該農信機構在安全運營平臺的基礎上，通過部署綠盟風云衛安全大模型底座及 AI 能力（如智能分類、提示詞控制、安全專家、運營反饋以及語音服務和降噪分診等），實現自動化安全運營、輔助運營和知識問答，該農信機構可以基于已訓練好的安全模型底座不斷調優，實現其安全運營能力的提升以及基于數據的有效分析和降噪。98第七章 ISOC 優秀案例研究具體來說，在大模型底座方面，該農信機構憑借綠盟科技自研的風云衛大模型底座，在數據訓練中投入通用訓練語料和安全訓練語料，同時通過為大模型訓練和推理提供了必要的基礎設施和高效的管理，涵蓋

255、分布式算力池、網絡安全行業大模型（SecLLM）和向量知識庫，并通過整合廣泛的安全數據集，這些數據集覆蓋了已知的攻擊模式、漏洞類型、安全策略以及合規要求等多個維度，以確保模型訓練的全面性和深度。同時，風云衛大模型底座也包含向量知識庫，支持用戶將本地的 word、pdf、txt 等數據導入系統，系統根據一定的策略對相關數據進行預處理，包含分段處理、去重等，并使用一個詞嵌入模型（Embeddings）將農信機構的自有知識轉換為稠密知識向量數據導入本地向量知識庫。此外，該農信機構也尤為重視數據安全及模型安全，為了提升數據和模型的安全性，一方面，在數據采集階段采用數據脫敏和去標識化等方法，對個人身份和

256、敏感信息進行保護。在數據存儲和傳輸過程中，使用加密技術來確保數據的機密性，以防止未經授權的訪問。另一方面，在模型安全方面，通過對模型安全性進行評估，識別模型存在的潛在漏洞和安全風險，并采取防御性訓練及魯棒性增強的方法，例如對模型進行對抗攻擊測試、漏洞挖掘和魯棒性分析等，同時通過注入噪聲和故意擾動訓練數據，從而減少模型被惡意攻擊的風險，增強模型對抗攻擊的能力。（4 4）關鍵成功因素）關鍵成功因素平臺應用價值核心集中在安全運營、安全對抗、安全能力提升以及 AI 自身安全評估等多個應用場景的探索實踐。智能運營智能運營 CopilotCopilot：通過人機協同，如智能降噪、威脅事件深入快速分析研判、

257、威脅檢測、閉環處置等能力進一步增強安全防御的智能化和及時性。這些功能共同構建起智能安全運營的基礎，提升了威脅檢測、響應和決策的能力，助力安全團隊更有效地維護網絡安全。安全對抗安全對抗：基于大模型的智能體通過自動對抗，形成長期自主進化的攻防對抗能力。同時，該平臺還支持輸入攻防演練需求，通過模擬各類攻擊和防御情景，基于 SecLLM 的智能體不僅學習攻擊方法，還能掌握99第七章 ISOC 優秀案例研究多種防御策略，從而逐步形成多樣化的應對能力。SecLLM 智能體可以快速感知威脅，做出智能決策，并將決策轉化為實際行動，從而提高安全防御和響應的效率和準確性，最后輸出演練報告進行總結和復盤。安全能力提

258、升安全能力提升：基于 SecLLM 開展代碼漏洞挖掘，通過學習大量代碼和漏洞案例，積累豐富的漏洞代碼分析經驗和專業知識；同時基于 SecLLM 提供智能問答服務，無論是有關網絡攻擊的常見手段，還是關于數據隱私保護的最佳實踐，SecLLM 都能夠提供詳細的安全專業解答和建議。AIAI 自身安全評估自身安全評估：針對 AI 大模型在內容安全及對抗安全兩大方面的風險評估工具，目前已支持評估Chatglm2、Qwen、Baichuan2、百度文心、阿里通義、訊飛星火等商用大模型及開源大模型評估，其中合規內容安全評估涵蓋虛假信息、敏感數據泄露、歧視性言論、知識產權及版本等內容；對抗安全風險評估包括元 P

259、rompt 泄露、角色逃逸、模型越獄、模型功能濫用等對抗攻擊；內置 26 類測試用例，助力企業在 AI 大模型在應用之前及時發現其存在的安全風險。從大模型開發生命周期的各個維度進行 AI 安全的評估和驗證，如針對基座安全、數據安全、模型安全、應用安全、身份安全，結合大模型在各個階段（訓練階段、部署階段、應用階段）發現 AI 自身的安全隱患和風險。（5 5）實施收益）實施收益綜合來看，該省級農信機構在其安全運營平臺嵌入生成式 AI 能力后，極大地提升了網絡安全運營管理工作的效率，其作為輔助專家的定位或者角色，不僅能提升企業側安全人員在安全運營管理、安全對抗和安全研究上的能力，而且也有效提升了該省

260、級農信機構的智能化安全運營工作效率，而且通過借助于 AI 自動基線過濾（多個 AISecOps 降噪模型）把運營需要關注的事件按不同級別/分類找出來，給予不同的處置處理，使得平均降噪率 97%，響應時間降低到 30 分鐘內，效率提升 70%+。未來，該省級農信機構在 AI 賦能安全運營管理和 AI 自身安全兩個大的領域深度進行建設的基礎上，探索更多領域的安全場景和服務應用，例如威脅情報增強、攻防能效的提升、全新交互范式的建設以及運營報告的自動化生成等。安全牛評價安全牛評價金融行業普遍面臨著極為嚴峻的網絡安全挑戰和嚴格的監管合規雙重壓力。業務的快速創新和數字化轉型帶來了 IT 環境的高度復雜性和

261、海量安全數據，傳統安全運營模式在效率、響應速度、高級威脅（如網絡欺詐、APT 攻擊、數據泄露）檢測和內部威脅防范方面捉襟見肘，同時專業安全人才的匱乏加劇了運營困境。因此，構建具備自動化、智能化、主動防御能力并滿足嚴格合規性要求的安全運營體系，已成為金融機構的迫切需求。綠盟科技為該省級農信機構提供的解決方案，其核心優勢在于深度融合了安全垂直領域的大語言模型（風云衛 SecLLM）與安全運營實踐。該方案的創新性體現在：一是通過“智能運營Copilot”實現了人機協同下的智能降噪、深度分析研判和閉環處置；二是利用基于大模型的智能體進行自動化攻防對抗演練，顯著提升了主動防御和實戰能力；三是利用 Sec

262、LLM 賦能安全能力提升，如代碼漏洞挖掘和智能問答；四是其對 AI 自身安全評估的重視，提供了針對性的評估工具，解決了引入 AI 技術帶來的新風險。該方案將 AI 深度融入安全運營的各個環節，代表了安全運營模式的先進性和變革方向。100第七章 ISOC 優秀案例研究7.27.2 典型案例二典型案例二 某省級應急管理廳安全運營平臺建設案例（奇安信提供）某省級應急管理廳安全運營平臺建設案例（奇安信提供）（1 1）案例背景）案例背景某省應急管理廳作為省應急行業直管單位，直接管理全省的應急行業工作，項目要求根據地方應急管理信息化 2024 年任務書應急管理部關于印發自然災害應急能力提升工程基層防災、預

263、警指揮、航空應急等 3個項目實施方案的通知（應急函2023140 號）工作要求，應急管理廳針對指揮信息網、電子政務外網等，建設一套完整的“事前有防范、事中有應對、事后有追溯”的安全防御體系，支撐應急網絡安全建設人才培養和覆蓋區、市、縣的安全運營能力建設，實現安全管理能力明顯提升、安全技術與實際應用相結合，形成具有主動防御和協同運營能力的新一代網絡安全保障體系，保障應急網絡信息系統安全穩定運行。（2 2）用戶挑戰）用戶挑戰缺乏一套針對省廳電子政務網、指揮信息網的整體安全運營體系，無法感知全網安全監測預警、安全設備監控、安全事件溯源等問題；滿足應急管理部一級運營平臺進行數據上報需求，響應中央網信辦

264、聯合多部委發布的生成式人工智能服務管理暫行辦法鼓勵生成式人工智能技術在各行業、各領域的創新應用的號召；期望通過安全大模型能力，解決安全運營面臨告警繁多，專家人員稀缺等痛點；（3 3）案例實施）案例實施省應急管理廳采用奇安信 AISOC 作為核心運營平臺，進行安全運營中心建設。通過工具、人員、流程的多維建設，構筑多中心統一運營的安全運營模式?；谥鲃犹綔y、流量分析、安全設備接入等多種方式，加強對信息系統資產使用狀況、漏洞及配置違規情況的監測，實現資產和脆弱性管理結合。該案例對于同樣面臨高安全要求、強監管壓力、數據敏感性高、技術快速迭代等特點的金融機構具有極高的借鑒價值。同時，對于其他關鍵基礎設施

265、行業（如能源、電信、政府等）以及希望利用 AI 提升安全運營智能化水平的大型企業也具有重要的參考意義。該案例的關鍵啟示在于：安全垂直領域大模型的應用是提升 ISOC 智能化的關鍵；構建智能化安全運營體系需同步考慮 AI自身的安全風險；將 AI 用于安全對抗和能力提升是重要的應用方向；人機協同仍然是當前階段實現 AI 價值最大化的有效途徑。101第七章 ISOC 優秀案例研究AISOC 集群部署示意圖通過 AISOC 設計架構，實現對應急管理廳指揮信息網、電子政務外網安全狀態的監測以及分析研判和處置，同時利用大模型的整合和計算能力實現智能化、自動化，極大提升了網絡安全運營的效率，實現安全運營團隊

266、日常工作的重塑，讓安全運營人員可以聚焦威脅狩獵等高價值安全任務，提高單位時間能夠處理的潛在高級威脅的數量提高，提升新質安全生產力。AISOC 智能運營態勢大屏（示意圖）（4 4）實施收益）實施收益基于資產風險的量化運營指標設計基于資產風險的量化運營指標設計102第七章 ISOC 優秀案例研究為提升應急管理廳的網絡安全量化運營效果評價能力，本次項目交付的態勢感知平臺在滿足應急管理部的功能要求前提下，奇安信基于國際行業通用標準及國內政企部門實際運用經驗，總結出一套體系化的安全運營工作量化指標，并通過免費定制開發的方式應用到了態勢感知平臺上。同時，結合量化運營相關指標定制了態勢大屏，聚焦解決應急管理

267、廳安全建設成果和運營成效無法有效體現，安全管理者難以有效決策的難題。量化運營指標通過指標可選、周期可配的靈活方式，輔助運營團隊構建適合應急管理廳的運營指標。同時，量化運營態勢通過可拖拽、可自定義的方式，滿足應急管理廳的個性化監控與匯報要求。平臺定制指標數量為 24 個，包含效率提升類指標 3 個，團隊投入類指標 2 個，成果類指標 19 個，覆蓋資產風險、威脅告警、安全事件、人員配置、工作產出等大部分日常安全運營工作，保證運營團隊全方面體現工作成果，讓應急管理廳網絡安全管理者了解到安全運營部門的工作成果和業績，輔助管理者做出安全決策和下一步的投資建議?；谏墒饺斯ぶ悄艿陌踩\營設計基于生成式

268、人工智能的安全運營設計奇安信 AISOC 完成安全大模型與態勢感知平臺的接口對接，將大模型的智能研判、智能問答、智能運營等能力與態勢感知平臺進行深度融合，并實現聯動，讓安全運營降本增效。AISOC 通過與安全大模型對接，集成思維鏈、上下文學習及邏輯推理能力，可以和高級網絡安全專家一樣對告警進行分析、研判。通過對話問答的方式將內置的網絡安全專業知識轉化為具體業務場景的分析，繼而協助安全運營人員的疑難解答和輔助分析，提升網絡安全運營效率和質量。通過 7*24 小時不間斷地告警自動研判，實現對廳本級 80%的常見告警自動進行研判，給出研判結論并輸出研判報告；其次使用更加智能的安全通用知識問答，通過簡

269、單的對話，獲得攻擊特征、攻擊原理、危害和專業建議；最后運用數據查詢、任務下發等 30+智能運營場景，下達安全運營中常見的工作任務，實現安全運營閉環。旨在解決應急管理廳安全運營工作難度大、重復性高、人力不足、專業人才匱乏、專業知識要求高等業界難題，為應急管理廳安全運營中心降本增效?；诖竽Ｐ图夹g的安全事件研判能力設計基于大模型技術的安全事件研判能力設計奇安信 AISOC 智能研判功能，可以直接對接入的告警進行 7*24 小時全天候自動化研判，大模型及智能代理會根據學習到的研判知識針對不同的告警信息調用合適的工具如關聯其他告警日志等進行分析研判，自動輸出研判結論和處置建議，并且可以輸出查看告警的詳

270、細智能研判信息，包括攻擊的原理分析、過程分析、結果分析、處置建議等。如對攻擊過程存疑，針對威脅可進一步對機器人提問，探索與該威脅相關的詳細信息，讓安全運營人員只需審核大模型/機器人研判結果即可完成工作。讓原本占用安全運營人員大部分時間的告警篩選和研判工作轉變成打開自動研判結果，快速審核即可完成告警研判工作。節省的時間能夠專注在業務環境復雜事件的跟蹤分析或進行威脅狩獵，提升網絡安全運營新質生產力。103第七章 ISOC 優秀案例研究7.37.3 典型案例三典型案例三 某省電力公司安全運營建設案例（亞信安全提供）某省電力公司安全運營建設案例（亞信安全提供）（1 1）案例背景）案例背景某省電力公司是

271、負責投資、建設和運營管理本省多個地級市電網的大型企業。企業供電服務人口超千萬。在實施國家電網公司“一特四大”戰略中具有重要地位，該電力公司在“十二五”期間承擔了特高壓交、直流電網和 500 千伏電網覆蓋本省各地區的重任。對區域電力供應、促進經濟社會發展發揮著舉足輕重的作用。近年來，隨著電力系統的數字化轉型加速，網絡攻擊手段變得愈加復雜多變，傳統的安全防護體系已難以滿足現代電網的安全需求。為了應對日益復雜和嚴峻的網絡安全挑戰，該電力公司決定構建基于最新 AI 技術的XDR（擴展威脅檢測與響應）平臺，旨在通過智能化和集中運營管理提升整體網絡安全水平，實現對全網設備的統一管理和實時監控，保障電力系統

272、的穩定運行。安全牛評價安全牛評價應急管理部門作為關鍵信息基礎設施的重要組成部分，其網絡安全直接關系到社會穩定和公共安全。該案例精準地抓住了當前應急管理部門在網絡安全運營方面普遍存在的痛點：網絡環境復雜（涉及指揮信息網、電子政務外網等）、資產多元化且分布廣泛（覆蓋省、市、縣）、安全設備異構導致數據孤島嚴重、缺乏統一運營體系導致態勢感知和事件溯源困難。同時，海量告警帶來的“告警疲勞”和專業安全人才的稀缺，進一步放大了安全運營的挑戰，亟需構建統一、智能、高效的安全運營體系。奇安信的 AISOC 解決方案，核心在于深度融合了奇安信自研的安全垂直領域大模型（QAX-GPT）和成熟的安全運營平臺（NGSO

273、C），實現了安全運營的智能化升級。其優勢與創新性體現在：一是 AI 驅動的全流程賦能，將 AI 能力貫穿于告警研判（目標自動化率 80%）、事件調查、響應處置、智能問答等安全運營各個環節，顯著提升效率和準確性；二是面向管理決策的量化運營體系，通過定制化的 24 個量化指標和可視化大屏，將安全建設成果和運營成效具象化，為安全決策和投資規劃提供了科學依據，有效解決了“安全價值難衡量”的管理難題；三是響應國家戰略，積極探索生成式 AI 在關鍵行業的創新應用，提升“新質安全生產力”。該案例對面臨 IT 環境復雜、安全數據海量、安全要求高、合規壓力大、專業人才緊缺等類似挑戰的企業和組織具有重要的借鑒意義

274、，尤其適用于其他政府機構、關鍵信息基礎設施運營單位（如金融、能源、交通、運營商等）以及大型企業集團。其關鍵啟示在于：構建統一的、集成的安全運營平臺是應對復雜環境的基礎；引入安全垂直領域的大模型能夠顯著提升安全運營的效率和智能化水平，有效緩解告警疲勞和人才短缺問題；建立量化的安全運營指標體系對于衡量安全價值、支撐管理決策至關重要；選擇能夠提供深度融合 AI 能力和定制化解決方案的廠商進行合作是項目成功的重要因素。104第七章 ISOC 優秀案例研究（2 2）用戶挑戰）用戶挑戰該電力企業在網絡安全方面面臨的挑戰主要包括：設備多樣化與統一管理難題。系統中包含多種類型的電力設備，從傳統的 PC 到工業

275、控制系統，再到云計算資源，種類多樣，分布在不同的斷層上等。這些設備可能運行在不同的操作系統和硬件架構上，包括但不限于個人電腦（Windows、macOS、Linux）、服務器（物理服務器和虛擬機）、移動設備（iOS 和Android 智能手機和平板）、物聯網設備（如智能電表、傳感器、網絡頭）、工業控制系統（如 PLC、SCADA系統）、網絡設備（路由器、交換機、防火墻）以及云服務和邊緣計算節點。設備的多樣性給安全地接入企業網絡和有效地監控、管理和防護帶來一定的挑戰。安全事件快速響應需求。需要高效識別、分析并迅速應對各類復雜的網絡安全威脅，包括但不限于高級持續性威脅（APT）、零日漏洞攻擊（0d

276、ay）、無文件攻擊、勒索軟件、分布式拒絕服務攻擊（DDoS）、內部人員惡意行為以及供應鏈攻擊等。面對這些多變且隱蔽的安全威脅，傳統安全措施往往顯得力不從心，因為它們缺乏對新型威脅的及時發現能力和有效的自動化響應機制。如果電力調度系統遭到攻擊或智能電表被入侵，可能導致大停電，或導致用戶數據泄露或電費被篡改，從而導致業務中斷。電力網絡的復雜性和完整性，使安全事件的有效檢測和快速響應變得更加困難。提升運維效率。日常在處理復雜多變的網絡環境下的各種運維任務存在巨大挑戰，傳統方法往往依賴于人工審查日志文件、手動配置規則和逐個驗證警報的真實性，尤其是在安全事件檢測、分析與響應過程中不僅需要耗費大量的人力和

277、時間，還容易出現人為錯誤。4.合規性要求。該電力公司需要滿足國家和行業對于網絡安全的各項法規、標準和監管要求，確保系統的合規運行，如中華人民共和國網絡安全法中華人民共和國數據安全法中華人民共和國個人信息保護法網絡數據安全管理條例重要基礎設施保護條例、DL/T26142023電力行業網絡安全等級保護基本要求信息安全技術網絡安全等級保護基本要求27 號令等。（3 3）案例實施）案例實施項目目標和需求：項目目標和需求：1.全面兼容設備接入與統一管理：我們的目標是確保 XDR 平臺能夠無縫支持并集成來自不同廠商、不同類型的各種終端（如 PC、移動設備）、網絡設備（路由器、交換機、防火墻）、云端應用以及

278、邊緣計算節點的接入。通過提供一個集中化的管理控制臺，實現對所有連接設備的可視化監控與管理，簡化復雜的 IT 環境，提高運維效率，同時保證系統的高可用性和安全性。2.安全事件精準發現與響應：為了有效應對日益復雜的安全威脅，通過部署先進的 AI 技術來實時監測、分析網絡中的異常行為和潛在攻擊。該系統不僅能快速準確地識別出已知威脅，還能通過機器學習算法預測未知威脅的發生，并自動生成針對性地響應策略。此外，自動化響應機制可以在檢測到威脅時立即采取行動，比如隔離受影響的主機或自動更新防護規則，從而大幅縮短從發現到處置的時間周期，降低風險暴露窗口。105第七章 ISOC 優秀案例研究3.動態調整策略：考慮

279、到安全威脅的不斷演變，我們計劃利用深度學習算法持續優化防御策略。這意味著 XDR 平臺將能夠根據最新的威脅情報和歷史數據，自動調整其安全措施以適應變化莫測的安全態勢。通過這種方式，不僅可以增強系統的自我保護能力，還可以減少人工干預的需求，使得整個防護體系更加靈活高效，始終處于最佳狀態，為用戶提供持久且可靠的安全保障。實施思路和方法：實施思路和方法：采用 AI 驅動的精準運營模式，結合大模型、圖神經網絡（GNN）等先進技術，打造集成威脅情報庫、ATT&CK模型等功能的智能事件聚合引擎。項目實施內容：項目實施內容：部署新一代 XDR 統一管理智能安全運營平臺，實現了對各類設備的無縫接入和統一管理。

280、該平臺支持多種終端（如 PC、移動設備）、網絡設備（路由器、交換機、防火墻）、云端應用以及邊緣計算節點的集成，通過單一界面提供全面的可視化監控與集中化管理，簡化了復雜的 IT 環境管理流程，提高了運維效率。實施 AI 驅動的安全事件分析，提高了威脅檢測精度和響應速度。利用先進的機器學習算法，系統能夠自動識別異常行為模式，并通過持續學習來優化模型，增強對未知威脅的預測能力。此外，AI 技術還支持自動化的事件分類與優先級排序，使得安全團隊可以專注于處理最關鍵的安全事件，極大地縮短了從發現到處置的時間周期。引入動態策略調整機制，根據實時流量分析結果自動調整防御策略。此機制采用深度學習算法，能夠實時評

281、估網絡安全態勢，并據此動態更新防護規則。這不僅增強系統的自我保護能力，也減少人工干預的需求，確保企業始終處于最佳的安全狀態。106第七章 ISOC 優秀案例研究基于 AI 能力的自動化運營，實現了全天候的安全監測與響應。借助 AI 助手，系統可以自動執行日常的安全操作，例如定期掃描潛在威脅、自動隔離受感染的主機、實時更新威脅情報庫等。同時，AI 還能生成詳細的報告，供安全團隊審查和進一步行動。這種自動化運營方式顯著提升了工作效率，減少了人為錯誤的可能性。開發智能響應劇本庫，用于指導自動化響應措施。這些劇本基于 AI 分析的結果，定義了針對不同類型的威脅應采取的具體步驟。一旦檢測到特定威脅，系統

282、將自動觸發相應的劇本，執行預設的操作流程，如封鎖惡意 IP 地址、重置受損賬戶密碼或恢復被篡改的數據文件。建立持續學習與改進循環，確保 XDR 平臺能夠適應不斷變化的安全威脅。通過收集實際運行中的反饋數據，AI 引擎能夠不斷地學習和進化，優化其算法以更好地應對新型攻擊手法。這一過程還包括定期的安全演練，驗證新功能的有效性，并及時調整策略以保持領先于潛在威脅。（4 4）關鍵成功因素）關鍵成功因素靈活擴展：設計方案支持模塊化擴展，可根據實際需求靈活配置。技術創新：應用了先進的 AI 技術和機器學習算法，如 GNN 和深度異常檢測模型，提升了威脅檢測能力。不僅提升了平臺的智能化程度，還極大地增強了對

283、未知威脅的識別能力和應急響應速度。利用先進的機器學習算法和深度神經網絡，AI 大模型能夠對來自不同來源的數據進行綜合分析，自動識別潛在的安全威脅，并提供精準的操作建議；高效集成：將多種安全功能集成于單一平臺，簡化了管理和操作流程。采用了動態策略調整機制，根據實時流量分析結果自動優化防御策略，適應不斷變化的安全環境。結合強化學習等前沿技術；靈活擴展：設計方案支持模塊化擴展，可根據實際需求靈活配置。（5 5）實施收益）實施收益提高了安全事件響應速度：通過 AI 研判與一鍵終止功能，跨設備攻擊鏈路溯源效率提高了 80%，平均響應時間縮短至分鐘級，大大提高了安全事件處理的速度和準確性。增強了防御能力：

284、實現了對 0day 攻擊等高級威脅的有效檢測，70%的攻擊可以自動攔截。降低了運營成本：通過自動化流程減少了 93%的人工調查時間，實現了從威脅發現到處置的高效閉環管理。107第七章 ISOC 優秀案例研究7.47.4 典型案例四典型案例四 某能源頭部企業一體化網絡安全監管平臺（神州泰岳提供）某能源頭部企業一體化網絡安全監管平臺（神州泰岳提供）（1 1）案例背景）案例背景在“十四五”期間，某能源集團積極投身數字化轉型，深度融合云計算、大數據、物聯網、人工智能、5G通信、區塊鏈等新一代信息技術，推動公司戰略實施。通過提升數據質量、挖掘數據潛力，結合人工智能與大數據技術，構建高效安全的運營大模型，

285、完善信息科技安全運營機制，提升科技創新能力，為高質量發展注入動力。隨著云計算、大數據、移動辦公等新技術和新應用的大規模部署，在推動集團數字化進程加速的同時，也給現有的網絡安全帶來了新的挑戰，現有安全防護體系的適應性和防護能力已無法應對新的風險。鑒于國家中華人民共和國網絡安全法的實施和能源企業經營管理的內在需求，建設集中化、統一化、功能安全牛評價安全牛評價電力行業作為國家關鍵基礎設施，其網絡安全面臨著獨特的挑戰。電力系統 IT 環境高度復雜，融合了傳統的辦公 IT 網絡、大量的工業控制系統（ICS）和物聯網設備（如智能電表、傳感器），設備種類繁多、協議各異、安全防護水平參差不齊，給統一安全管理帶

286、來了極大的困難。同時，電力行業是高級持續性威脅（APT）攻擊的重點目標，且對業務連續性和數據安全性的要求極高，加之嚴格的網絡安全法規遵從壓力，使得電力企業亟須能夠實現全面覆蓋、智能分析、主動防御的新型安全解決方案。亞信安全的基于 AI 技術的 XDR 平臺解決方案，在該案例中展現出顯著的優勢、創新性和先進性。其優勢在于：一是通過 AI 賦能，實現了對海量、多源安全數據（覆蓋云、網、端）的深度分析和關聯，突破了傳統安全方案依賴規則和特征的局限，能夠有效檢測未知威脅和高級持續性威脅（APT）；二是將多個安全域的數據和能力集成在統一平臺上，實現了跨域的威脅檢測和響應，打破了傳統安全產品各自為戰的格局

287、，提高了安全防護的整體效能；三是引入了自動化響應和智能策略調整功能，最大限度減少了人工干預，提升了安全運維效率，降低了運營成本。其創新性體現在應用了如圖神經網絡（GNN）、深度異常檢測等先進 AI 技術。其先進性則體現在以 XDR 理念為核心，整合多方安全能力，并以 AI 驅動實現精準運營。該案例對于面臨復雜 IT/OT/IoT 融合環境、高安全要求和嚴格合規監管要求的行業具有重要的借鑒意義，特別是電力、石油石化、智能制造、交通等關鍵基礎設施行業。其關鍵啟示在于：統一的 XDR 平臺是應對復雜異構環境、實現跨域安全協同的有效途徑；AI 技術是提升高級威脅檢測能力和安全運營效率的關鍵；自動化響應

288、和動態策略調整對于保障關鍵基礎設施的業務連續性至關重要；選擇能夠提供深度融合 AI 能力和跨域整合能力的 XDR 解決方案是提升整體安全防護水平的關鍵。108第七章 ISOC 優秀案例研究強大的安全智能監管平臺成為當務之急。該平臺將有效提升網絡安全防護能力，確保數字化轉型穩健推進，保障企業的可持續發展。（2 2）用戶挑戰）用戶挑戰攻擊方式多樣：網絡攻擊手段層出不窮，攻擊來源、目的、方法及規模復雜多變。云計算、大數據、移動辦公等新應用帶來新的安全風險，現有安全防護體系難以適應。產品能力割裂：企業在安全防御體系上部署了較為完備的基礎安全產品，但仍以異構設備堆疊式建設為主，設備之間相互割裂，難以深度

289、協同，存在信息孤島效應和防御孤島效應。運營資源不足：面對層出不窮的網絡安全事件，企業安全人才的短缺正在逐步擴大，同時缺少完善的流程制度以及評估機制，無法保障安全運營的實際效果。（3 3）案例實施）案例實施運用云原生微服務技術體系架構，通過數據中心完成對集團總部內外網網絡安全相關數據的采集、分析、處理和存儲，構建企業特有的網絡安全監管庫；基于網絡安全能力中心，實現對全網的網絡安全能力集成，打通各個安全設備、安全平臺的能力壁壘和數據孤島。結合網絡安全運營中心，實現對安全運營目標、安全運營場景分類、安全運營場景分析、安全運營場景拆解等，結合網絡安全事前、事中和事后等維度，保障對日常安全工作的覆蓋，解

290、決重點和難點的網絡安全運營問題。通過網絡安全運營大屏，將網絡綜合態勢、網絡威脅監測、資產安全態勢、網絡攻擊監測等數字化視圖進行直觀地呈現給各管理層。（4 4）關鍵成功因素）關鍵成功因素技術創新：云原生的微服務架構和容器化部署，提升平臺的靈活性和可擴展性。引入自主可控的 CPU109第七章 ISOC 優秀案例研究和系統軟件，增加安全性。高效集成：統一數據采集和分析，實現對各類安全數據的集中管理和處理。打通安全設備和平臺的能力墻壘和數據孤島，實現全網安全能力的集成。定制開發：構建可定制化開發的安全平臺，拉通安全能力，使得平臺能夠滿足企業的安全需求。（5 5）實施收益）實施收益安全運營自動化：面向安

291、全運營，以高效、有效為目標，編排和自動化為核心，將各種安全工具/系統與能力聯動起來，實現基于實戰的自動化協作；安全運營服務化：通過整合現有的安全工具/系統，建立彈性可擴展、快速可復制的安全能力，構建安全能力庫，根據不同安全場景，對安全能力進行組合編排，以服務形式輸出，為內外部業務安全需求提供高效支撐。安全運營常態化：將安全工作過程規范化、標準化，納入統一結構化的工作流；整合安全業務流程，基于任務模式，實現人員安全工作常態化協同管理。截至目前，安全監管平臺已成功整合并有效管理企業內部 20W+的各類資產，實現與外部多套系統的無縫集成與協同工作，為企業分子公司、基層單位以及合作伙伴提供強有力的支持

292、與保障。通過這一平臺，該能源集團得以更加全面、精準地掌握企業全網網絡安全態勢，有效提升整體的安全防護能力與應急響應速度。安全牛評價安全牛評價大型能源企業在數字化轉型背景下，IT 資產海量增長，云計算、大數據、物聯網等新技術的廣泛應用使得網絡環境日益復雜，傳統分散、被動的安全運營模式已難以為繼。面臨的主要痛點包括：攻擊方式多樣化，難以全面覆蓋；安全產品能力割裂，存在信息孤島和防御孤島；運營資源不足，安全人才短缺且缺少完善的流程和評估機制。因此，建設集中化、統一化、功能強大的安全智能監管平臺，實現對全網資產和安全的統一監控與管理，成為這類企業的迫切需求。神州泰岳為該能源集團構建的安全智能監管平臺解

293、決方案，其核心優勢和創新性在于：一是采用了云原生的微服務架構和容器化部署，提升了平臺的靈活性、可擴展性和可靠性，并引入了自主可控技術增強安全性；二是實現了高效的數據集成和能力整合，通過構建統一的數據中心和網絡安全能力中心，打通了各類安全設備和平臺的數據壁壘和能力壁壘，實現了全網安全能力的集中管理和協同；三是強調“掛圖作戰”的可視化能力，將復雜的安全態勢和運營數據直觀呈現，有效支撐了管理決策和應急指揮；四是支持定制化開發，能夠根據企業的具體業務需求和安全流程進行定制，確保平臺與企業實際運營的緊密貼合。該案例對于大型集團化企業、關鍵基礎設施行業（如能源、金融、電信、交通等）以及正在進行深度數字化轉

294、型、面臨復雜 IT 環境和高安全要求的組織具有重要的借鑒意義。其關鍵啟示在于：構建統一、集成的安全監管平臺是應對復雜環境、打破安全孤島的關鍵；云原生架構能夠為安全運營平臺帶來更好的靈活性和擴展性；強大的數據集成和可視化能力是提升安全運營效率和決策水平的重要支撐；平臺的可定制化能力對于滿足大型組織的特定需求至關重要；將安全運營流程規范化、服務化、常態化是提升整體運營效能的有效途徑。110第七章 ISOC 優秀案例研究7.57.5 典型案例五典型案例五 某電網公司智能安全運營解決方案（碳澤提供）某電網公司智能安全運營解決方案（碳澤提供）（1 1）案例背景）案例背景某電網公司作為國家特大型能源企業，

295、承擔著全國 26 個省區市的電力供應，其業務的特殊性和重要性決定其 IT 環境的極端復雜性和對網絡安全的高度依賴。公司擁有超過 500 個變電所、10000+公里輸電線路和 200+數據中心節點，并采用大型混合云架構，這使得其 IT 基礎設施的維護與管理面臨巨大挑戰。日均處理 50 萬條安全的路徑，以及三地五中心容災架構等保 2.0 三級合規要求和跨云安全策略不一致等問題，該公司迫切需要一套能夠有效多源數據、實現智能威脅檢測和自動化響應的安全解決方案。（2 2）用戶挑戰）用戶挑戰傳統 SOC 主要面臨以下問題和挑戰海量安全相當于難以有效應對?？缭?、不同設備的安全運營管理復雜度。缺乏全局安全儲備

296、能力。安全事件響應速度緩慢。合規審計工作煩瑣。（3 3）案例實施）案例實施項目目標和需求：項目目標和需求：針對這些痛點，該公司提出構建全場景的數據需求融合能力，實現智能的威脅檢測，自動化響應造成安全事件，應對電力行業 IT 環境的復雜性和規模龐大帶來的安全挑戰。（4 4）項目實施內容：）項目實施內容：針對上述問題，該公司采用碳澤超自動化安全運營平臺，通過構建多源數據接入和智能配置能力，配置多維度關聯分析和專項檢測引擎，建立預置響應腳本庫和自定義工作流程，引入智能體協同體系，實施資產風險管理、攻擊面管理和知識庫管理，構建框架采集大屏和指揮移動終端等一系列措施，實現數據融合、智能威脅檢測、自動化響

297、應時間、智能體協同體系、安全運營管理和可視化協同。該平臺關鍵技術包括多源融合技術、編織能排引擎和 AI 增強能力，部署架構上則采用新一代的 XDR 平臺。（5 5）實施收益）實施收益該解決方案的關鍵成功要素在于技術創新、集成和自動化能力。技術高效體現在多源聚合技術、智能編排引擎和 AI 增強能力的應用，高效集成則體現在平臺能夠無縫集成各類安全設備和云平臺，實現全局安全導出。自動化能力則體現在大量的運營工作都可以通過平臺自動實現，釋放大量的人力。實施后，該公司的運營指標得到顯著提升，平均事件響應時間從每周 4.2 小時縮短至每周 18 分鐘，另外有效識別率從 15%提升至 82%，人工操作活動從

298、 75%降低至 22%，合規審計通過率從 83%提升至 100%。在客戶價值方面，該公司實戰現已實現業務連續性保障，減少安全事件導致的事故，重要系統可用性達到 99.999%，節省安全運營人力成本約 200萬/年，并減少違規損失風險，有望避免損失 500 萬+。111第七章 ISOC 優秀案例研究安全牛評價安全牛評價超大型電網公司面臨著極致的網絡安全挑戰：IT/OT/云環境高度復雜且規模龐大，安全數據量巨大（日均處理量可能達到數十萬甚至百萬條路徑/事件），設備種類繁多且異構，跨地域、跨云管理難度極大，同時還需要滿足等級保護等嚴格的合規性要求。傳統的安全運營方式在這種環境下捉襟見肘，普遍存在海量

299、數據處理瓶頸、缺乏全局安全可視性、安全事件響應緩慢、合規審計工作繁瑣等痛點，嚴重威脅電力系統的穩定運行。碳澤信息的智能安全運營解決方案，在該案例中展現了其獨特的優勢、創新性和先進性。其核心優勢在于強大的數據融合能力和高度的自動化水平。平臺能夠有效融合多源異構數據，并通過智能編排引擎，將大量的安全運營工作自動化，顯著釋放人力。其創新性體現在引入 AI智能體協同體系，并結合多維度關聯分析和專項檢測引擎，實現了更智能的威脅檢測和響應決策。該方案的先進性則體現在其自動化的理念，通過技術創新、高效集成和自動化能力，構建了全面的安全運營閉環，在復雜場景下取得了顯著的量化效果率。該案例對于擁有超大規模、極端

300、復雜 IT/OT/云環境、面臨海量安全數據和高合規性要求的關鍵基礎設施行業，如大型電網、大型金融集團、超大型運營商、大型跨國企業等，具有重要的啟示意義。其關鍵啟示在于：對于超大規模復雜環境，超自動化是提升安全運營效率和效果的關鍵途徑；強大的數據融合和智能編排引擎是實現超自動化的核心技術支撐；AI 增強能力（如智能檢測、智能體協同）能夠進一步提升自動化運營的智能化水平；通過量化指標體系衡量和展示自動化運營的成效至關重要；選擇能夠提供深度自動化、智能化和強大集成能力的平臺是應對極端復雜安全挑戰的有效策略。112第八章 推薦廠商第第八八章章 推薦廠商（按廠商首字母排序）推薦廠商（按廠商首字母排序）國

301、內智能化安全運營中心（ISOC）市場呈現出蓬勃發展的態勢，吸引了各類安全廠商積極布局。不同類型的廠商，憑借其自身的技術積累、資源優勢和市場策略，在 ISOC 建設方面展現出各自的優勢和特點。安全?；谘芯颗c調研，推薦國內市場中部分具有代表性的 ISOC 相關廠商及其解決方案，為企業用戶在進行 ISOC 規劃和選型時提供參考。企業在選擇 ISOC 廠商時，需要綜合考慮企業自身的具體需求、預算、技術棧、行業特點等多維度因素進行綜合評估。推薦廠商綠盟科技推薦廠商綠盟科技公司簡介：公司簡介：綠盟科技集團股份有限公司（簡稱“綠盟科技”），成立于 2000 年 4 月。綠盟科技在國內設有 50 余個分支機

302、構，為政府、金融、運營商、能源、交通、科教文衛、企業等各大行業用戶與各類型企業用戶提供全線網絡安全產品、全方位安全解決方案和體系化安全運營服務。綠盟科技秉持智慧安全 3.0 理念，為政企用戶提供安全檢查與評估類、安全檢測與防護類、認證與訪問控制類、安全審計類、安全運營及管理類等 70 余款高品質安全產品。目前綠盟科技擁有員工總數近 4000 人，其中研發技術人員超過 2600 人，擁有各項專利 546 項、軟件著作權 620 項。產品簡介：產品簡介：綠盟智能安全運營管理平臺（NSFOCUS ISOP）是踐行綠盟科技智慧安全 3.0 理念的核心支撐組件，以“AI實戰化安全運營”為核心，圍繞 IP

303、DR 打造縱深能力及安全運營的橫向場景化能力，構建“全場景、智能化、實戰化”的安全運營平臺，實現“全面防護，智能分析，自動響應”的防護效果，支撐企業常態化安全運營體系建設。綠盟風云衛 AI 安全能力平臺（簡稱“風云衛”）致力于徹底改變傳統的網絡安全運營模式，通過深度整合人工智能與安全領域的專業知識，應對日益嚴峻的網絡威脅挑戰。其核心目標在于提升安全運營的智能化水平，實現對復雜網絡威脅的快速識別、精確分析、智能響應與有效防御，從而為企業和組織構建一個更加穩固、靈活且高效的網絡安全防護體系。該平臺專注于縮短威脅響應時間，提高檢測精度，優化運營效率，并強化對敏感數據的保護，確保在數字化轉型浪潮中，企

304、業和組織的關鍵資產得到全方位的安全保障。風云衛定位于成為安全運營中的智能中樞，是連接安全數據、分析能力與運營決策的橋梁。它不僅僅是一個技術工具，更是安全運營策略與實戰經驗的集大成者。通過將先進的大模型技術（SecLLM）、大數據處理、113第八章 推薦廠商機器學習與安全專家的智慧深度融合，平臺提供了一站式的安全運營支持，覆蓋從告警降噪、威脅研判、處置響應到溯源分析的全鏈條安全運營流程。其定位為安全團隊的智能助手，旨在增強團隊的決策質量與響應速度，同時降低對人工專家依賴度，提升整體的安全防御效能。AI 賦能 ISOP 安全運營架構典型應用場景典型應用場景（1 1）安全運營智能化）安全運營智能化面

305、對日益增長的安全威脅和數據，傳統的安全運營方式已無法滿足用戶需求。針對海量告警，傳統人工運營需要操作員具備一定的安全運營經驗，且通常需要消耗大量的時間。在安全運營的各階段，傳統人工運營均存在一定的缺陷。整合綠盟風云衛 AI 安全能力平臺、綠盟安全運營平臺（ISOP）能力，構建智能安全運營解決方案，利用生成式人工智能的力量，來應對日益嚴峻的威脅形勢。通過將 AI 能力原子化嵌入到 ISOP 系統的各功能，提供自然語言的 AI 助理能力，以機器速度和規模幫助企業提升安全運營效率和能力，在安全運營的各階段解決安全運營痛點：降噪分診：采用 AI 基線+資產圖譜結合的形式實現智能降噪和業務誤報優化，基于

306、用戶場景推薦分類方案，并結合專家意見調整優化。威脅研判：自動分析 payload 關聯日志和情報給出攻擊是否有效及是否成功的判斷參考和解釋，并基于場景給出研判方法和依據威脅處置：快速生成處置建議，自動生成響應腳本及防護規則并支持手工調整，下發執行。溯源遏制：快速生成溯源遏制階段推薦操作，給出推薦使用工具，并輔助運營人員進行影響面分析。（2 2）威脅情報智能化）威脅情報智能化威脅情報往往涉及多源異構、多模態、多語言的開源情報以及數量龐大的實時網絡威脅數據（如惡意域名、IP、URL、文件等）。這些信息包含大量有價值的內容，為更好地應對未知的安全風險，用戶或分析師往往需要從中整合、精煉高價值內容，并

307、根據應用場景對情報進行深度的挖掘、演繹、推理和應用。然而這一過程往往費時費力，且對操作者的專業性有著較高的要求。整合綠盟風云衛 AI 安全能力平臺、綠盟威脅情報平臺（NTIP）能力，構建智能威脅情報解決方案。以 NTIP作為情報生產和情報運營中樞，進行綠盟云中威脅情報數據以及第三方威脅情報數據的接入。依托 AI 安全能力114第八章 推薦廠商平臺的語義理解能力和推理分析能力，實現情報的智能融合與深度挖掘，并以自然語言的形式提供專家級解讀與分析。推薦理由推薦理由具有前瞻性的 AI 應用規劃、豐富的攻防數據積累以及中臺化的設計思路；強調 AI 以人為本，將自研的“風云衛”安全大模型與豐富的攻防實戰

308、數據相結合，通過中臺化設計實現數據的高效利用，賦能安全運營；在釣魚識別等特定威脅檢測方面準確度較高；將大模型應用于智能問答（提供威脅的思維鏈問答）和安全分析（利用思維鏈進行數據解讀和研判分析），致力于構建具有引導性和實戰性的智能安全運營體系；威脅情報整合能力。深度分析多源威脅情報并提供專家解讀，建立詳盡的威脅畫像，把握安全態勢，做出前瞻性的防御決策；對非結構化數據的支持。提供敏感數據智能識別與管理，自動識別敏感信息，提升數據分類與保護的精確度，降低數據泄漏風險，強化數據治理能力。推薦廠商奇安信推薦廠商奇安信公司簡介：公司簡介：奇安信科技集團股份有限公司（簡稱“奇安信）成立于 2014 年，是專

309、注于網絡空間安全市場，提供新一代企業級網絡安全產品和服務的供應商，2020 年登陸科創板上市。持續的創新研發和實戰攻防能力是奇安信的核心優勢。數字經濟和人工智能時代，奇安信把握大數據、人工智能等新技術發展趨勢，率先布局“人工智能+安全”，創新推出首批工業級大模型安全人工智能產品 QAX-GPT 安全機器人和大模型衛士產品系列，奇安信自主研發的 QAX 安全大模型智能底座已全面完成了 DeepSeek 的深度接入，率先將其引入到威脅研判、安全運營、滲透測試和漏洞管理、身份與訪問管理、網絡釣魚防護、惡意軟件和勒索軟件防護、數據泄露防護、安全培訓、供應鏈安全等場景之中，展示了卓越的技術實力和創新能力

310、。產品簡介：產品簡介：（1 1）AISOCAISOC 安全運營智能體安全運營智能體奇安信 AISOC 是奇安信 NGSOC 與奇安信安全大模型深度融合的智能化態勢感知與安全運營產品。產品以“智能副駕駛（Copilot）”模式為核心，通過自然語言交互，模擬頂級安全專家邏輯，實時指導運營人員自動化完成告警研判、事件調查、響應處置及報告生成等全流程運營閉環操作，讓傳統依賴人工經驗的繁雜安全運營工作變得“簡單、高效、省心”。通過將 AI 能力深入嵌入到多源告警關聯、威脅狩獵、策略調優等高階場景，實現“復雜攻擊鏈一鍵穿透、安全事件快速聯動處置”。AISOC 不僅讓安全運營效率實現指數級增長，還可將115

311、第八章 推薦廠商威脅平均響應時間（MTTR）壓縮至分鐘級，以超越攻擊者的響應速度重構主動防御體系，有效解決告警疲勞、人才短缺、技能不足等行業痛點，推動企業網絡安全運營從“手動駕駛”向“自動駕駛”的跨越式升級。典型應用場景：典型應用場景：包括告警智能研判、告警智能關聯、事件自動調查、事件聯動處置、智能創建響應預案、告警規則智能優化、自動提取內生情報、事件報告自動化生成、安全通識智能問答等應用場景。行業用戶行業用戶：主要聚焦于大型企業、金融機構、電子政務、能源、醫療等行業。圖奇安信 AISOC 產品功能架構（2 2）AI+AI+代碼衛士代碼衛士奇安信網神代碼衛士系統（簡稱：代碼衛士）是一款靜態應用

312、程序安全測試系統，該系統提供了一套企業級源代碼缺陷分析、源代碼缺陷審計、源代碼缺陷修復跟蹤的解決方案。隨著大型機器學習模型的快速發展，源代碼缺陷審計領域迎來了新的變革。大模型通過訓練學習了海量的代碼庫和相關文檔，不僅掌握多種編程語言的語法和結構，還能夠理解源代碼的語義和上下文。代碼衛士結合大模型技術，推出了“AI+”功能，通過該功能可以自動化、批量化進行代碼審計，為開發人員提供個性化、專業化缺陷描述、修復建議、加固代碼，幫助開發人員高效提升代碼質量，構建信息系統的“內建安全”。三大核心功能：116第八章 推薦廠商1 1智能化缺陷審計智能化缺陷審計通過應用程序靜態分析技術檢測出的源代碼缺陷結果，

313、需要代碼審計人員根據缺陷的數據來源、數據傳遞、函數的調用等關鍵信息，來確認檢測結果，排除誤報數據。這一過程對于大型項目的源代碼倉庫來說尤為復雜，因為檢測結果往往數量龐大，需要花費較長時間來對每個缺陷進行逐一審計。這種傳統的人工缺陷審計方法效率低，同時，還可能遺漏、錯誤審計相關的缺陷。為了解決這一問題，引入大模型技術可以顯著提高審計效率和準確性。AI+代碼衛士，代碼衛士將檢測結果的相關信息進行提取，與大模型進行交互，大模型根據這些信息進行分析、推理，可以快速識別出真正的缺陷，排除誤報數據。2 2智能化缺陷信息智能化缺陷信息源代碼安全檢測工具的缺陷知識庫一般采用通用缺陷描述和缺陷修復建議，對于同種

314、類型不同源代碼安全缺陷結果缺乏針對性，導致開發人員需要花費更多的時間去研究和理解特定源代碼安全缺陷產生的根源，這無疑增加了解決問題的難度和所需的時間?！癆I+”功能借助大模型的強大語言理解和生成能力，通過分析源代碼缺陷的具體上下文，提供更加精確和詳盡的缺陷描述，幫助開發人員和代碼審計人員快速判斷缺陷的嚴重性，缺陷產生的具體原因。3 3智能化缺陷修復智能化缺陷修復源代碼安全缺陷修復是一個復雜的過程，要求開發人員不僅要深入理解缺陷產生的根源，還要對缺陷代碼的上下文有很好的理解，其中包括但不限于變量的作用域、函數的調用關系等?！癆I+”功能通過大模型能夠理解和模擬復雜的編程模式和代碼結構，結合代碼衛

315、士檢測結果，可以深入地理解存在缺陷代碼的上下文，提供具有針對特定缺陷的定制化修復方案。加特林 AI 紅隊版117第八章 推薦廠商智能紅隊（加特林 AI 紅隊版）是奇安信自動化滲透測試系統（加特林）與奇安信大模型（QAX-GPT）結合的另一個經典案例。以大模型的安全能力為基礎的多智能體架構，將加特林的滲透測試能力封裝成工具鏈，通過向量知識庫保存滲透測試過程中的長上下文，實現的一個具備完整紅隊滲透任務的自動化滲透測試智能體，可以高效幫助用戶完成攻防演練、滲透測試等過去耗時耗力的任務。推薦理由推薦理由AI 安全領域的持續投入和領先實力；以 QAX-GPT 安全大模型為核心的 AISOC 解決方案；A

316、I 智能化應用能力，自研 QAX-GPT 經過大量真實數據訓練，在安全知識問答、報告生成、威脅情報分析、SOAR 劇本生成、自然語言交互等方面表現突出；高效的告警降噪與智能研判能力，通過告警關聯智能體、溯源調查智能體等，大幅提升告警準確率和事件分析效率；118第八章 推薦廠商領先的自動化運營能力，實現從威脅檢測到響應處置的全流程一體化和自動化；全面的安全運營解決方案，覆蓋威脅檢測、智能研判、事件分析、威脅狩獵、風險評估、策略優化等多個環節；提供定制化解決方案以滿足不同行業需求。推薦廠商神州泰岳推薦廠商神州泰岳公司簡介：公司簡介：北京神州泰岳軟件股份有限公司（簡稱“神州泰岳”），于 2001 年

317、成立，深耕信息技術領域，公司以打造行業精品、支撐客戶提升、推動產業發展為使命，立志成為數智化浪潮中持續創新的領航者。泰岳安全是神州泰岳集團旗下信息安全公司，2002 年進入信息安全軟件領域，秉承“平臺化安全連接，數智化安全運營”的先進理念，全鏈管控，縱深推進產品化轉型，成功打造出涵蓋資產安全平臺、身份安全平臺、安全運營中心、安全審計平臺及態勢感知平臺在內的多元化產品線，為企業信息安全筑起銅墻鐵壁。泰岳安全依托北京研發中心，以及廣州、沈陽、鄭州、石家莊、重慶五大研發基地，匯聚頂尖技術人才，累計榮獲近百項專利及軟件著作權，專注于為運營商、能源、金融、交通等關鍵行業提供定制化的安全軟件與解決方案。產

318、品簡介：產品簡介：1.Ultra-AIS1.Ultra-AIS 自智安全大模型系統：自智安全大模型系統：基于“1+2+4+N”AI 賦能體系，通過 1 個安全大模型（SecAI+），2 個雙馳引擎（SmartAI+SmartGPT），4 個增強緯度（檢測、監測、運營、管控），N 個 AI 安全能力子場景對安全運營和防護的各個階段進行賦能。提供智能問答、安全檢測、日志解析、故障排除、文檔處理等功能。119第八章 推薦廠商核心功能：智能問答：通過自然語言交互，提供安全專業知識問答，輔助安全運營閉環。安全檢測：基于組織日志、流量和告警數據，檢測潛在威脅并提供處理建議。文檔處理：智能化處理安全文檔，提

319、高交付效率。模型管理：支持模型的自定義、監控、調優和更新，實現安全知識的自我修訂和優化。應用場景：適用于安全運營、安全運維、事件分析、故障排查等場景。2.Ultra-SOMC2.Ultra-SOMC 安全運行管理中心：安全運行管理中心：Ultra-SOMC 安全運行管理中心作為運營支撐平臺，以企業安全運營工作統一化、數字化、自智化為目標，通過靈活的劇本編排和能力整合以及底層工作流作為支撐，達到安全場景的全覆蓋和安全業務流程的線上化、閉環化執行，并通過多維度可視化的度量視圖提供豐富清晰的安全運營數據，方便用戶全面了解當前環境的安全質量、安全運營工作帶來的價值以及安全運營工作執行成果等信息。核心功

320、能：一體化集中運營支撐：提供一體化統一門戶，增強人員、能力、業務協同效率。風險處置與能力管理：聯動合規平臺，實現資產弱點預警、能力監測和問題閉環處置。安全威脅處置與劇本編排：通過拖拉拽方式編排安全運營劇本，實現安全事件管理閉環。系統定級備案：支持動態表單設計，實現系統定級備案的線上化管理。重大活動保障：提供統一作戰掛圖，實現重大活動保障的線上管理和知識沉淀。應用場景：適用于組織安全運營管理、網絡安全監控、重大活動安全保障等場景。推薦理由推薦理由“一中心+三平臺+X 產品”的一體化安全運營中心。整合身份安全、資產安全、安全管理進行統一管120第八章 推薦廠商理；“1+N+X”大模型產品體系。注重

321、行業實踐和業務場景的 AI 創新應用；AI 技術研發能力。擁有威脅情報分析等近百項專利，創新 BERT-EMD 的方法提升 AI 應用的效率和效果；應用創新能力利用。在告警提煉、智能研判和聯動處置等安全領域有創新應用；靈活的定制化能力。提供無代碼的自動化平臺工具和可定制的安全策略；深耕能源和運營商等行業，深入的行業理解。推薦廠商推薦廠商-碳澤碳澤公司簡介：公司簡介：上海碳澤科技有限公司（簡稱“碳澤”）成立于 2017 年，總部位于上海，是一家專注于安全運營領域的高新技術企業。愿景是成為世界級網絡安全運營產品與解決方案提供商，保護人類數字資產，為數字世界創造安全未來。戰略是以自主研發為核心，聚焦

322、安全運營自動化領域，構建新一代智能安全運營平臺，通過“產品打磨+市場拓展+生態合作”模式，覆蓋全生命周期安全需求，推動 AI 技術與安全運營深度融合，提升威脅響應效率與精準度。核心產品包括運營安全自動化平臺、漏洞風險管理系統和自動化滲透測試系統，市場布局覆蓋全國，主要服務于軍政、金融、通信、能源等重點行業。公司已為近百家客戶提供安全解決方案，客戶群體包括大型企業、政府機構以及關鍵基礎設施領域。同時加強國際化布局：產品已進入非洲、東南亞、港澳等海外市場，服務全球客戶。產品簡介：產品簡介：碳澤超自動化安全運營管理平臺基于全新 ISOC 理念，將傳統技術與先進人工智能深度融合，構造了一套“智能體知識

323、中樞決策引擎”三層認知架構，旨在實現安全全鏈路自動化、智能化和高效協同。平臺整合智能化資產管理、漏洞與未知威脅識別、威脅檢測與評估、日志篩選分析和關聯處理、情報分析與管理、用戶異常行為監測、事件調查、態勢感知與預測預警、事件分級、決策建議及自動化響應等多個模塊，充分發揮 SOC與 SIEM 產品的傳統優勢，同時引入機器學習、深度學習、神經網絡、知識圖譜、大規模語言模型及 AI 智能體等前沿技術，在數據采集、風險預測、應急響應等環節建立起一體化、全閉環的安全體系。121第八章 推薦廠商推薦理由推薦理由低代碼的 AI+SOAR 編輯平臺：具有較強的自動化和編排能力，并提供低代碼平臺，簡化安全運營流

324、程的定制和自動化；多種 AI 創新應用：碳澤的多種 AI 創新應用包括 Agent 智能體編排、智能電網安全運營、自動化模擬攻擊、自動化風險評估、自然語言生成工作流、動態知識圖譜實時推演攻擊鏈、攻擊模擬等；智能化數據分類分級和數據保護：碳澤提供智能化數據分類分級和數據保護功能，如機密數據沙箱環境、動態脫敏，并實現泄密事件 100%定位；近 200+種安全運營自動化實踐積累；對金融、能源、運營商行業有深入了解。推薦廠商推薦廠商-亞信安全亞信安全公司簡介：公司簡介：亞信安全科技股份有限公司（簡稱“亞信安全”），秉承建網基因，堅守護網之責，以護航產業互聯為使命，以安全數字世界為愿景，亞信安全依托云、

325、網、邊、端、數的優勢能力布局，形成產品+平臺+服務的“云122第八章 推薦廠商化、聯動化、智能化”安全治理系統。隨著技術不斷迭代以及 AI 等新技術的創新應用，亞信安全 XDR 升級為集云原生 XDRSaaS 平臺、全棧式的 XDR 全面檢測與響應本地平臺、7*24MDR 專家服務團隊為一體的 XDR 整體解決方案，并已廣泛應用于金融、運營商、能源、高端制造等各大行業。產品簡介：產品簡介：亞信安全推出 AI 驅動的 XDR 平臺，致力于實現“檢測即終止”的威脅響應閉環。該平臺深度整合 AI 技術與全面的安全數據，不僅能精準識別包括 0day 攻擊的高級威脅，還能配置攻擊者概率，自動優化響應策略

326、，從而大幅提升威脅處理效率。通過集成大模型，亞信安全 XDR 平臺構建智能事件聚合引擎，并融合威脅情報庫與 ATT&CK 模型，提供高度定制工廠化的威脅警報方案。其智能規則和在安全運營全流程中，亞信安全 XDR 平臺利用大模型技術，提供策略仿真、解讀、相關插件研判和 RAG 庫等服務，極大賦能安全運營人員。此外，平臺還支持對話式數據與統計，以及調用，實現安全對應、指令生成和 SOAR 調用的閉環，旨在為用戶提供智能、高效插件、自動化的安全運營體驗。主要功能包括：安全問答：運用大模型技術，智能地理解和回答安全領域的專業問題，構建安全運營人員工作助手。告警解讀：運用大模型技術，對告警、事件進行語義

327、解析，以自然語言的方式對告警、事件內容進行解讀與呈現，并給出后續合理的處置建議。告警研判：運用大模型技術，對告警進行二次研判，準確輸出正報、誤報或者無法研判的結果。RAG 庫查詢：運用大模型技術和 RAG 技術，智能地綜合安全領域專業知識和用戶自身安全運營數據和情報信息，幫助客戶依據業務快速解答專業問題。數據查詢與統計：支持對話式交互，可對資產、漏洞、告警等進行多維度查詢統計，還能自定義篩選條件。插件調用：打通安全告警處置、指令生成和 SOAR 插件調用閉環流程，已實現對 IP 和域名的有效封堵。123第八章 推薦廠商推薦理由推薦理由打造統一的智能化管理平臺，其新一代 XDR 平臺基于自研的信

328、立方大模型，提供云、網、端融合分析能力，構建全局防御閉環；較強的數據處理和分析能力，能夠接入處理來自終端、網絡、云等多源異構的安全數據，形成高清日志，并進行多維度分析，支撐全面掌握網絡安全態勢；豐富的檢測分析引擎，通過多維度分析覆蓋 12 大類安全領域、超過 100 個 XDR 場景和 10 多類專項分析場景，顯著提高高級威脅檢測能力；自動化處理能力，能夠自動生成處置建議，支持邊界一鍵封堵、終端一鍵查殺等動態響應。高效的告警篩選能力，基于 AI 算法+威脅情報，智能過濾無效告警，聚焦高置信度威脅，具有較高的準確率和較低的誤報率。全覆蓋的智能化運營場景，涵蓋資產全周期管理、多維度分析、事件監測與

329、響應、威脅狩獵、脆弱性管理、重保指揮等環節。其他特色廠商其他特色廠商此外，其他廠商在智能安全運營方面各有側重，都積極探索利用 AI 技術進行安全運營的創新。核心價值核心價值描述描述客戶痛點客戶痛點一點發現，全網免疫全面兼容各類端，網、云、邊設備接入和統一管理XDR 安全事件分析，威脅全局可視化、一站式調查處置閉環安全設備繁多，管理困難，響應處置效率低設備告警多，形成數據孤島，跨設備安全分析和調查難98%AI 告警降噪比通過內置規則，基于 AI 算法和威脅情報能力，告警降噪比達 98%，安全可運營噪音太多，運營成本高，響應慢告警噪音太多，導致無法運營，最后真實攻擊被淹沒在噪音中，導致實際攻擊的發

330、生AI 自動化事件研判結合威脅情報，高清日志、資產和漏洞等數據，借助 AI 精準事件定性和處置建議運營人員人手不夠或能力不足人工調查和響應時間長124第八章 推薦廠商其他特色廠商其他特色廠商安恒信息：安恒信息：具有豐富安全服務經驗，開發了多種智能體，如數據分類分層和告警研判智能體，并結合低代碼平臺，提供定制化、標準化的安全運營解決方案。觀安信息：觀安信息：預置豐富的 AI 功能和低代碼智能體開發平臺，為客戶提供功能全面、靈活定制、易于使用的智能安全運營方案。浪潮云：浪潮云：發揮云廠商的生態優勢，強調服務團隊架構優化和工單整合的安全運營服務，重視廣泛的生態伙伴合作，打造云生態的智能安全運營。聯通

331、數科：聯通數科：擁有運營商的云網數據資源優勢，將海量數據轉化為安全情報，打造以大模型為核心的智能安全運營服務。新華三新華三：以 ASOP 方法論為指導，通過成熟度和健康度雙指標量化體系，結合安全大模型賦能的四大應用場景，打造一體化智能安全運營平臺。掌數科技掌數科技：獨特的業務視角將 IT、SOC 和 SOAR 能力與業務融合，聚焦于異常行為檢測，通過圖神經網絡技術，實現對安全威脅、0day 漏洞異常的全面監控與響應。125第九章 挑戰與未來第九章第九章 挑戰與未來挑戰與未來國內智能化安全運營中心（ISOC）的建設雖然取得了初步成效，展現出巨大的發展潛力，但其全面推廣和深化應用仍面臨諸多挑戰?？?/p>

332、服這些挑戰，把握未來的發展趨勢，對于企業有效利用 ISOC 提升安全能力至關重要。本章將深入分析當前 ISOC 建設面臨的主要挑戰，并展望其未來的發展方向。9.19.1 目前面臨的挑戰目前面臨的挑戰1 1）ISOCISOC 落地仍面臨多重挑戰落地仍面臨多重挑戰盡管 ISOC 代表了安全運營的未來趨勢，但國內組織在實施過程中仍面臨著多種實際挑戰。根據安全牛 2025年用戶調研數據顯示，企業用戶對 ISOC 的實施普遍存在顧慮，其中誤報率過高（71%）、數據質量問題（48%）、與現有系統集成困難（48%）以及 AI 可解釋性不足（43%）是最主要的擔憂因素。企業面臨的應用挑戰AIAI 技術方面的挑

333、戰：技術方面的挑戰：高誤報率與準確性：當前 AI 模型，特別是用于威脅檢測的模型，在復雜場景下的誤報率和漏報率仍需安全牛分析安全牛分析ISOC 的成功普及需要企業、安全廠商、研究機構等多方共同努力，協同克服一系列挑戰。這些挑戰既包括 AI 技術本身的問題，也涉及企業實施層面的障礙：126第九章 挑戰與未來持續優化，以避免“告警疲勞”并確保關鍵威脅不被遺漏。AI 可解釋性（XAI）：“黑盒”問題限制了安全分析師對 AI 決策的信任和理解，需要發展和應用更有效的 XAI 技術。AI 自身安全性：AI 模型和智能體本身可能成為攻擊目標（如對抗性攻擊、模型竊?。?，需要加強 AI自身的安全防護?？煽啃耘c穩定性：需要確保 AI 系統在各種環境下的穩定運行和可靠決策，避免因 AI 故障導致安全問題。實施方面的挑戰：實施方面的挑戰：數據質量與治理：高質量的數據是 AI 模型效果的基石，但企業普遍面臨數據源