在數(shù)字化浪潮席卷全球的今天，隨著攻擊手段日益復雜化、攻擊面不斷擴大，傳統(tǒng)的被動防御模式已難以應對層出不窮的安全威脅。企業(yè)亟需一場安全運營的革命性升級：從被動響應到主動預測，從人工分析到智能決策，從孤立防御到協(xié)同作戰(zhàn)。數(shù)智化安全運營中心(ISOC)應運而生，它不僅是技術(shù)的升級，更是理念的革新。通過融合大數(shù)據(jù)、人工智能、自動化編排等前沿技術(shù)，ISOC正在重塑網(wǎng)絡安全的未來。本文將揭示網(wǎng)絡安全運營數(shù)智化升級從初始級到自主級的蛻變路徑，分享行業(yè)領先企業(yè)的實踐案例。

能力成熟度模型

ISOC的五級成熟度模型為組織提供了評估組織安全運營能力、明確未來方向發(fā)展的框架。該成熟度模型清晰地展現(xiàn)智能化安全運營的演進路徑和每個階段的核心特征。組織可以根據(jù)自身的實際情況，參考該模型，制定切實可行的ISOC建設方案，逐步提升自身的安全運營能力。具體特征如下：

ISOC建設成熟度模型

ISOC建設原則

ISOC的建設是一個持續(xù)優(yōu)化的過程，需要根據(jù)組織的實際情況和安全需求的變化，不斷調(diào)整和完善。針對各個成熟度級提供的ISOC建設方案。組織應結(jié)合自身的實際情況，參考方案并制定切實可行的ISOC建設路線圖，逐步提升自身的安全運營能力。ISOC的建設應遵循以下關鍵原則，以確保項目成功落地，發(fā)揮預期價值，構(gòu)建主動、智能、自適應的安全防御體系。

建設原則包括：

1.戰(zhàn)略導向、風險導向

ISOC建設必須與組織的整體戰(zhàn)略、業(yè)務目標緊密對齊，并以業(yè)務安全需求為核心驅(qū)動力。同時，建設應以風險為導向，通過全面的風險評估確定建設重點和防御策略，確保安全投入聚焦于核心風險。

2.整體規(guī)劃，分步實施

ISOC建設需要進行全面的頂層設計，包括總體架構(gòu)、技術(shù)路線、建設目標、實施計劃等。但實施過程應根據(jù)組織的實際情況，分階段、有重點地逐步推進，可以采用“試點先行、逐步推廣”的方式，降低風險，積累經(jīng)驗。

3.數(shù)據(jù)驅(qū)動，AI賦能

數(shù)據(jù)是ISOC的基礎，AI是核心引擎。必須重視安全數(shù)據(jù)的全面采集、治理和利用，構(gòu)建統(tǒng)一的安全數(shù)據(jù)湖。充分利用人工智能技術(shù)提升安全運營的智能化水平。

4.人機協(xié)同，持續(xù)運營

充分發(fā)揮AI的優(yōu)勢和人類的智慧，構(gòu)建高效的人機協(xié)同安全運營模式。明確AI與分析師的角色分工，建立持續(xù)運營和優(yōu)化機制。ISOC不是一次性項目，而是一個需要持續(xù)投入和改進的長期過程。

5.安全合規(guī)，保障可靠

SOC建設必須符合國家相關法律法規(guī)和行業(yè)標準要求（如等級保護、數(shù)據(jù)安全法等）。采取必要的技術(shù)和管理措施保護數(shù)據(jù)安全和隱私。對AI模型進行充分的測試和驗證，確保安全、可靠、可信，并建立完善的審計機制。

6.循序漸進，注重實效

ISOC建設應從解決最緊迫的安全問題入手，選擇能夠快速產(chǎn)生價值的場景進行試點，逐步擴大應用范圍。注重實際效果，選擇適合自身需求的技術(shù)和平臺，避免盲目追求“高大上”，并定期對ISOC的建設和運營效果進行評估和優(yōu)化。

一、初始級升級到管理級

1.主要目標

建立基本的安全監(jiān)控和響應能力，初步實現(xiàn)安全事件的集中管理和分析，提升對常見安全威脅的檢測和響應效率，滿足基本的合規(guī)性要求。

2.建設內(nèi)容

1）組建基礎安全團隊或引入服務：

配備1-2名專職或兼職安全人員，明確其日常安全監(jiān)控、事件分析和響應職責。進行基礎網(wǎng)絡安全知識和技能培訓。對于資源有限的中小型企業(yè)，可以考慮引入MSSP提供安全服務支持。

2）部署SIEM平臺并集中日志：

• 選型：根據(jù)預算和需求選擇合適的SIEM平臺（開源或商業(yè)）。重點考察日志收集能力（覆蓋防火墻、服務器、核心應用等）、存儲、基礎分析和報表功能；
• 部署：推薦采用集中式部署；
• 實施：配置數(shù)據(jù)源，確保關鍵日志（防火墻、IDS/IPS、服務器、核心業(yè)務系統(tǒng)日志、殺毒日志等）能夠被有效采集、解析和存儲。從SIEM平臺自帶的規(guī)則庫開始，配置針對常見威脅（如暴力破解、端口掃描、已知惡意軟件）的檢測規(guī)則，并根據(jù)實際情況逐步調(diào)優(yōu)，降低誤報。配置基礎的安全報表，用于日常監(jiān)控和匯報。

3） 建立基本安全運營流程：

• 制定清晰、簡單的安全事件分類分級標準（例如按類型、影響、緊急程度分級）；
• 建立基礎的事件響應流程（SOP），明確事件上報、初步分析、處置（如隔離、封禁）、記錄和報告的步驟。

3.考核指標

• 安全團隊（或負責人）到位，完成初步培訓；
• SIEM平臺穩(wěn)定運行，關鍵日志接入率達到預期；
• 事件響應流程已建立并通過演練；
• 常見威脅的檢測率和響應效率相比之前有明顯提升。

三、實踐案例

某公司建設案例

案例概況

某制造公司一直以來面臨著“安全無專人”的困境，網(wǎng)絡安全管理較為薄弱，缺乏專業(yè)的安全團隊和明確的安全職責劃分。隨著業(yè)務的發(fā)展和數(shù)字化轉(zhuǎn)型的推進，該公司意識到網(wǎng)絡安全的重要性，決定采取一系列措施提升整體安全運營能力。該公司希望通過建立專業(yè)的安全團隊、部署先進的技術(shù)平臺、采集關鍵安全數(shù)據(jù)以及規(guī)范安全運營流程，全面提升網(wǎng)絡安全防護能力，確保核心業(yè)務系統(tǒng)的安全穩(wěn)定運行，同時有效應對各類安全威脅和事件。

安全建設步驟

該制造公司安全建設包括建立安全團隊、部署集中式SIEM平臺、采集安全數(shù)據(jù)、建立安全運營管理流程四個主要步驟。

1）建立具有明確職責的安全團隊

該制造公司為了改變“安全無專人”的現(xiàn)狀，從現(xiàn)有的IT部門中，選拔了一位對網(wǎng)絡安全有興趣的人，具備一定基礎的員工成為安全負責人，負責安全工作的整體規(guī)劃、協(xié)調(diào)和監(jiān)督的職責，成為安全建設的“領頭羊”。安全負責人與IT部門溝通了安全方面的職責。例如，服務器管理員則需要負責服務器的安全配置、漏洞修復和補丁管理；網(wǎng)絡管理員則需要關注網(wǎng)絡設備的安全配置、流量監(jiān)控和預警檢測。通過這種方式，將安全責任劃分到各個崗位，形成“人人有責”的安全隊列。同時引入了外部安全服務，主要提供重要安全事件的事件應急響應服務，幫助企業(yè)快速處理緊急安全事件。并制定了安全培訓計劃。培訓內(nèi)容包括安全基礎知識、常見安全威脅、以及安全事件響應流程等。

2）部署SIEM平臺，集中安全日志

該制造公司由于IT環(huán)境相對簡單，選擇了集中式部署SIEM平臺，并在數(shù)據(jù)中心部署了SIEM服務器。部署后，根據(jù)SIEM產(chǎn)品自帶的規(guī)則庫開始配置基本的安全事件檢測規(guī)則。例如，配置針對暴力破解、端口掃描、惡意軟件、異常登錄等常見威脅的檢測規(guī)則。此外，還配置了常用的安全報表，如安全事件統(tǒng)計報表、流量分析報表、安全報表等，以便向領導匯報安全情況。

3） 采集安全數(shù)據(jù)

SIEM平臺需要采集足夠的安全數(shù)據(jù)。對于該制造公司而言，采集的關鍵數(shù)據(jù)包括：

• 網(wǎng)絡邊界數(shù)據(jù)：防火墻、IDS/IPS、WAF（Web應用防火墻）等設備的日志和相關信息，可以幫助發(fā)現(xiàn)來自外部的網(wǎng)絡攻擊和入侵意圖；
• 核心業(yè)務系統(tǒng)數(shù)據(jù)：ERP、MES、OA等核心業(yè)務系統(tǒng)的日志，可以幫助發(fā)現(xiàn)針對業(yè)務系統(tǒng)的攻擊和異常操作；
• 重要服務器數(shù)據(jù)：域控制器、文件服務器、數(shù)據(jù)庫服務器等重要服務器的日志，可以幫助發(fā)現(xiàn)針對關鍵基礎設施的攻擊和異常行為；
• 終端安全：在員工使用的終端設備上安裝殺毒軟件，并集中收集殺毒日志。

 4）建立基本安全運營流程，規(guī)范事件處理

安全負責人牽頭建立了一套基本的安全運營流程，以規(guī)范安全事件的處理，確保安全事件得到及時、有效的響應。首先，需要對安全事件進行分類分級，根據(jù)安全事件的類型（如惡意軟件感染、網(wǎng)絡入侵、數(shù)據(jù)泄露、拒絕服務攻擊、內(nèi)部威脅等）和影響范圍、緊急程度等因素，將安全事件劃分為不同的類別和級別（如高、中、低），并建立一個明確的安全事件響應流程，包括事件上報、分析、執(zhí)行和報告等階段。一個簡單的流程示例如下：安全分析師（或安全負責人）通過SIEM平臺或其他途徑獲得安全告警，安全分析師對另外進行初步分析，確認是否為誤報。如果確認為安全事件，安全分析人員根據(jù)事件類型和級別，執(zhí)行相應的響應操作，如隔離受感染的主機、封禁惡意IP地址、通知相關人員等。事件處理完成后，安全分析師記錄事件處理過程和結(jié)果，并生成報告。

二、管理級升級到自動化級

1.主要目標

建立完善的安全運營體系，實現(xiàn)安全事件的規(guī)范化管理和處置，提升安全運營的效率和可靠性，并開始應用威脅情報和自動化技術(shù)，向主動防御轉(zhuǎn)變。

2.建設內(nèi)容

1）SIEM平臺深化應用：

• 關聯(lián)分析：重點提升SIEM的關聯(lián)分析能力。根據(jù)業(yè)務場景和威脅情報，編寫更復雜的關聯(lián)規(guī)則，將來自不同安全設備的告警信息進行關聯(lián)，發(fā)現(xiàn)多階段攻擊行為；
• 規(guī)則優(yōu)化：持續(xù)優(yōu)化告警規(guī)則，降低誤報率，提高檢測準確性；
• 可視化定制：定制安全運營儀表盤，展示關鍵指標（KPI）和安全態(tài)勢。

2）威脅情報平臺(TIP)部署與應用：

• 情報源選擇：根據(jù)行業(yè)特點和威脅態(tài)勢，選擇合適的商業(yè)或開源威脅情報源；
• TIP部署（可選）：如果情報源較多，可部署TIP平臺進行統(tǒng)一管理；
• SIEM集成：將威脅情報（IOCs,TTPs）與SIEM集成，用于豐富事件上下文，提升檢測準確性。

3）流程建立：

• 建立威脅情報的收集、評估、處理、應用和共享流程。

4）SOAR平臺部署與應用：

• 選型與部署：選擇合適的SOAR平臺，并與SIEM、EDR等關鍵平臺集成；
•  劇本開發(fā)：從常見的、重復性高的事件響應場景（如惡意軟件感染、釣魚郵件、暴力破解）入手，開發(fā)自動化響應劇本；
• 逐步自動化：先實現(xiàn)部分操作的自動化（如告警富化、生成工單、發(fā)送通知），再逐步實現(xiàn)更復雜的響應動作（如隔離、封禁）。
• 關鍵技術(shù)：劇本編排、API集成、自動化引擎。

5） 安全運營流程完善和優(yōu)化：

• 標準化：細化事件分類分級標準，完善事件響應流程，并將流程固化到SOAR平臺中；
• 協(xié)同：建立與IT運維、業(yè)務部門的協(xié)同流程，例如漏洞修復、配置變更等；
• 評估與優(yōu)化：定期對安全運營流程進行演練、評估和優(yōu)化；
• 團隊能力提升：培養(yǎng)安全分析師的關聯(lián)分析、威脅情報分析、SOAR劇本開發(fā)等能力。

3.考核指標

• 安全團隊能夠熟練使用SIEM、TIP和SOAR平臺；
• SIEM誤報率降低，威脅檢測準確性提高；
• 威脅情報得到有效利用；
• 部分高頻、重復性事件實現(xiàn)自動化響應，事件響應效率提升；
• 安全運營流程文檔化并有效執(zhí)行；
• 初步建立安全運營考核指標體系。

4.實踐案例

某企業(yè)智能化SOAR平臺建設案例

 案例概況

某高科技企業(yè)隨著業(yè)務的快速發(fā)展和數(shù)字化轉(zhuǎn)型的推進，面臨著日益復雜的網(wǎng)絡安全威脅。傳統(tǒng)的安全運營模式已經(jīng)難以應對當前的挑戰(zhàn)，企業(yè)面臨著日益增多的網(wǎng)絡安全事件和有限的安全運營人員。為了提升事件響應效率，減輕安全團隊的工作壓力，該公司決定引入智能化的SOAR（安全編排自動化與響應）平臺，以提升整體的安全防護能力和運營效率。

安全建設過程

首先該公司識別了日常安全運營中重復性高、耗時且易出錯的環(huán)節(jié)作為自動化的重要應用場景，例如惡意IP的封禁、病毒告警的初步處置、釣魚郵件的響應等。

在此基礎上選擇并進行SOAR平臺的部署，選擇平臺時重點關注平臺的集成性，確保其能夠與目標場景需要的安全基礎設施（如防火墻、EDR終端安全系統(tǒng)、入侵檢測系統(tǒng)、SIEM系統(tǒng)等）以及IT運維系統(tǒng)進行對接，利用安全組件提供的開放接口，將SOAR平臺作為指揮樞紐，協(xié)調(diào)和調(diào)度各類安全工具執(zhí)行自動化動作.

在完成平臺的基礎部署和集成后，公司針對重要應用場景定義和編排安全劇本?；陬A先制定的安全事件處置預案，利用可視化流程編輯器，將人工分析和處置步驟配置為標準化的自動化工作流程。例如，針對檢測到的惡意IP攻擊場景，創(chuàng)建惡意IP的封禁劇本，該劇本能夠自動從告警列表中提取惡意IP信息，然后聯(lián)動防火墻下發(fā)封堵策略，并記錄整個處置過程。對于挖礦告警劇本，劇本可以自動將相關信息發(fā)送至EDR系統(tǒng)進行風險驗證，并根據(jù)EDR的反饋聯(lián)動防火墻封禁相關的域名或IP地址。為了應對不同的安全事件類型，持續(xù)開發(fā)了一系列的自動化劇本，覆蓋了如Web攻擊、暴力破解、病毒木馬、非法外聯(lián)、漏洞利用等常見威脅。

為了保證自動化響應的可靠性，在劇本上線前進行了充分的測試，并進行監(jiān)控和調(diào)優(yōu)。此外，因為意識到自動化并非適用于所有場景，因此SOAR平臺也支持手動觸發(fā)和人工干預，對于需要人工判定的復雜事件或未知事件，SOAR平臺通過下發(fā)工單并提供執(zhí)行概覽，協(xié)助人工判斷與執(zhí)行。通過SOAR平臺的應用，該公司顯著提升了安全事件的響應速度和準確性，減輕安全運營人員的工作量，最終實現(xiàn)安全事件響應流程的自動化閉環(huán)。隨著經(jīng)驗的積累，后期準備基于SOAR平臺開發(fā)更復雜的自動化評估，例如與威脅情報集成形成自動化威脅狩獵劇本、與漏洞管理系統(tǒng)集成形成自動化漏洞處置劇本.

公司建某電商企業(yè)的SOAR應用實踐：自動化響應釣魚攻擊設案例

案例概況

某電商企業(yè)作為互聯(lián)網(wǎng)行業(yè)的典型代表，面臨著日益復雜和頻繁的網(wǎng)絡安全威脅，尤其是釣魚郵件攻擊。釣魚郵件攻擊不僅可能導致用戶數(shù)據(jù)泄露，還可能引發(fā)更嚴重的安全事件，如賬戶被盜用、惡意軟件傳播等，對企業(yè)的聲譽和業(yè)務運營造成嚴重影響。為了有效應對這些威脅，提升安全運營效率，降低數(shù)據(jù)泄露風險，該電商企業(yè)決定引入SOAR平臺，實現(xiàn)釣魚郵件攻擊事件的自動化響應。

 在SOAR平臺部署和配置過程中，該公司的首先將SOAR與已有的安全平臺進行了深度集成。通過API接口，SOAR平臺與SIEM平臺、EDR平臺、郵件安全網(wǎng)關以及威脅情報平臺進行對接，使SOAR平臺能夠獲取SIEM的信息、EDR的終端數(shù)據(jù)、郵件網(wǎng)關的郵件檢測結(jié)果以及TIP的威脅情報，并能夠調(diào)用這些平臺的功能執(zhí)行響應操作。

完成集成后，安全團隊針對釣魚郵件攻擊場景創(chuàng)建了一個名為“釣魚郵件自動響應”的流程。該流程以SIEM檢測到的釣魚郵件相關事件作為觸發(fā)，一旦觸發(fā)，就會自動執(zhí)行一系列預定義的操作。首先，SOAR平臺會自動從SIEM獲取有關事件的詳細信息，包括郵件主題、發(fā)件人、方案、URL鏈接、附件信息等。從郵件內(nèi)容、URL鏈接、附件中提取出關鍵詞，例如發(fā)件人郵箱地址、URL、域名等。接著，SOAR平臺會自動查詢威脅情報平臺，判斷這些IOC是否與已知的惡意IOC匹配。如果是惡意的，那么通過IAM（身份和訪問管理）系統(tǒng)接口禁止出訪的用戶賬號，防止攻擊者利用被盜取的權(quán)限進行非法訪問。最后，SOAR平臺會自動向安全分析師和出訪的員工發(fā)送通知，告知事件詳情并已采取的措施。如果安全分析師判斷為中風險事件，則給用戶發(fā)送安全提醒。最后，SOAR平臺會自動記錄所有執(zhí)行的操作和結(jié)果，并生成事件響應報告，為安全團隊的事后分析和審計提供響應。在實施“釣魚郵件自動響應”后，該公司的釣魚郵件攻擊事件響應效率得到了顯著提升，從收到通知到執(zhí)行完成隔離、阻止等關鍵任務。

響應整個過程往往只需要幾十甚至幾個操作，遠快于過去的人工響應操作方式。大部分響應操作都由SOAR提供平臺自動執(zhí)行，安全分析師只需進行審核和確認，很大程度上減輕了分析師工作負擔，也有效降低了人犯錯誤的可能性，使響應更規(guī)范、更可靠，并且有效阻止了釣魚攻擊的進一步泄露，降低了數(shù)據(jù)泄露和業(yè)務中斷的風險。

三、自動化級升級為智能輔助級（當前主流）

1.主要目標

建立量化的安全運營體系，實現(xiàn)安全運營的精細化管理和持續(xù)改進，引入AI技術(shù)提升對未知威脅、高級威脅和內(nèi)部威脅的檢測、分析和響應能力，實現(xiàn)人機協(xié)同。

2.建設內(nèi)容

1）構(gòu)建安全大數(shù)據(jù)平臺：

• 數(shù)據(jù)湖/增強型SIEM：升級或構(gòu)建能夠處理海量、異構(gòu)數(shù)據(jù)的安全數(shù)據(jù)湖或增強型SIEM平臺；
• 數(shù)據(jù)治理：建立完善的數(shù)據(jù)治理體系，確保數(shù)據(jù)質(zhì)量；
• 數(shù)據(jù)處理能力：具備實時流處理和離線批處理能力。

2）引入AI安全分析平臺：

• 選擇采購商業(yè)AI安全分析平臺，或基于開源框架自建。

3）模型訓練與優(yōu)化：

• 需要利用企業(yè)自身的安全數(shù)據(jù)對AI模型進行訓練和優(yōu)化。從成熟的AI應用場景（如告警降噪、惡意軟件檢測）開始試點，逐步擴展應用范圍。

4）部署UEBA平臺：

• 接入足夠的數(shù)據(jù)源（如AD日志、VPN日志、數(shù)據(jù)庫日志、EDR數(shù)據(jù)等），確?；€模型的準確性；將UEBA告警與SIEM、SOAR集成，實現(xiàn)聯(lián)動響應。

5）深化SOAR應用與智能化：

• 復雜劇本：開發(fā)更復雜的自動化響應劇本，例如自動化威脅狩獵、自動化漏洞修復等；
• AI輔助決策：AI Agent可以根據(jù)事件上下文推薦最佳響應劇本或響應措施；
• 自適應響應：AI Agent可以根據(jù)響應效果動態(tài)調(diào)整響應策略。

6） 建立量化指標體系與持續(xù)改進：

• 指標定義與采集：定義關鍵安全運營指標(KPIs)，如MTTD,MTTR,告警準確率,漏洞修復時間等，并利用平臺自動化采集；
• 分析與優(yōu)化：利用AI技術(shù)對指標數(shù)據(jù)進行分析，識別瓶頸，驅(qū)動流程和策略的持續(xù)改進；
• 績效關聯(lián)：將量化指標與團隊績效掛鉤，激勵團隊提升。

3.考核指標

• 安全團隊具備較強的安全分析、事件調(diào)查和基礎AI應用能力；
• SOAR平臺廣泛應用，大部分安全事件響應流程實現(xiàn)自動化；
• UEBA平臺有效運行，能夠檢測到內(nèi)部威脅和未知威脅；
• 量化的安全運營指標體系建立并常態(tài)化運行；
• 安全運營效率和效果（如MTTD、MTTR、準確率）得到顯著提升。

4.構(gòu)建威脅情報平臺案例

某能源企業(yè)的威脅情報應用實踐

案例概況

某能源企業(yè)作為關鍵基礎設施行業(yè)的代表，面臨著日益復雜和嚴峻的網(wǎng)絡安全威脅。為了有效應對這些威脅，提升整體的安全防護能力，該企業(yè)決定在安全運營中引入威脅情報，并采取分階段、分步驟的方式進行部署和應用。目標是通過威脅情報的引入和應用，提升威脅檢測的準確性和效率，減少誤報和漏報，增強安全運營的主動防御能力，并優(yōu)化安全策略和監(jiān)控措施。同時，該企業(yè)希望借助威脅情報實現(xiàn)更高效的威脅狩獵，主動發(fā)現(xiàn)潛藏在企業(yè)網(wǎng)絡中的威脅，從而更好地保護企業(yè)資產(chǎn)和業(yè)務安全。

某能源企業(yè)在部署威脅情報時，他們采取了分階段、分步驟的方式：

情報源接入：該能源企業(yè)首先梳理了自身需要的威脅情報類型，包括惡意IP地址、惡意域名、惡意文件哈希、漏洞信息、攻擊組織信息（APT）、行業(yè)威脅情報等。然后，他們逐步接入了多個威脅情報源，如購買了某商業(yè)威脅情報、訂閱了某開源威脅情報、并加入了能源行業(yè)的信息安全共享聯(lián)盟，獲取行業(yè)內(nèi)的威脅情報，并且將安全團隊在日常安全運營和事件響應流程中發(fā)現(xiàn)的威脅情報，也記錄到威脅情報平臺中，平臺會自動對來自不同情報源的數(shù)據(jù)進行清洗、去重、標準化處理，將不同格式的情報數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一的格式，并提取出關鍵的IOC。

情報分析與評估：該能源企業(yè)的安全團隊利用威脅情報平臺提供的分析工具，對收集到的威脅情報進行分析與評估。如分析不同情報源之間的關聯(lián)關系，例如，某個惡意IP地址是否與某個已知的攻擊組織相關聯(lián)。分析威脅情報的時間分布和變化趨勢，了解當前的威脅。并根據(jù)威脅信息的類型、來源、可信度等因素，評估其對企業(yè)資產(chǎn)的潛在威脅。

情報應用：該能源企業(yè)將威脅情報與SIEM平臺、SOAR平臺以及防火墻、EDR等安全設備進行了集成。首先，威脅情報平臺將經(jīng)過處理和評估的威脅情報（例如惡意IP地址、惡意域名、惡意文件等）提供給SIEM平臺。SIEM平臺利用這些威脅情報，可以提升威脅檢測的準確性和效率。例如，當SIEM平臺檢測到某個IP地址與企業(yè)內(nèi)部主機通信時，會自動查詢威脅情報，判斷該IP地址是否為已知的惡意IP地址。其次，威脅情報平臺為SOAR平臺的自動化響應腳本提供威脅情報支持。例如，在處理釣魚郵件攻擊事件時，SOAR平臺可以自動查詢威脅情報，判斷郵件中的URL或附件是否為惡意。 

實際效果：在威脅情報平臺投入使用后，通過與SIEM集成，威脅情報平臺提供的威脅情報幫助SIEM平臺更準確地識別出不良流量和不良行為，減少了誤報和漏報。通過與SOAR集成，威脅情報平臺為自動化響應提供了關鍵的威脅情報，使SOAR平臺能夠更快、更準確地執(zhí)行響應操作。通過對威脅情報的分析，該能源企業(yè)的安全團隊能夠更早地了解威脅現(xiàn)狀，并采取主動的防御措施，例如調(diào)整安全策略、加強安全監(jiān)控等。基于威脅情報中豐富的威脅情報信息，安全分析師可以更有效地進行威脅狩獵，主動發(fā)現(xiàn)潛藏在企業(yè)網(wǎng)絡中的威脅。

5.構(gòu)建AI分析平臺案例

某銀行構(gòu)建AI分析平臺案例

 案例概況

某銀行作為一家大型金融機構(gòu)，隨著數(shù)字化轉(zhuǎn)型的加速，其業(yè)務系統(tǒng)和數(shù)據(jù)資產(chǎn)面臨著日益復雜的網(wǎng)絡安全威脅。傳統(tǒng)的安全運營中心（SOC）在應對海量告警、人工分析壓力以及新型威脅方面逐漸顯得力不從心。為了提升威脅檢測和響應的效率與智能化水平，該銀行決定對其現(xiàn)有的安全運營中心進行升級，構(gòu)建一個強大的AI分析平臺，以更好地應對當前的安全挑戰(zhàn)。AI分析平臺建設目標是實現(xiàn)智能化的告警處理、威脅情報分析和安全事件響應，從而提升整體的安全運營效率和智能化水平。

實施過程示意圖

首先，針對銀行當前安全運營面臨海量告警、人工分析壓力大、新型威脅不斷涌現(xiàn)等挑戰(zhàn)，確定了AI平臺的幾個關鍵應用方向，包括智能化的告警分診和研判，自動化的威脅情報分析和管理，以及輔助安全事件的智能調(diào)查和響應。

在規(guī)劃和設計時，銀行考慮到數(shù)據(jù)安全和合規(guī)性要求，以及對性能的較高需求，選擇了部署本地化的大模型，并關注到AI智能體結(jié)合大模型和各種安全工具，實現(xiàn)更智能化的自動化任務執(zhí)行，因此計劃構(gòu)建一個混合的AI平臺，包含通用的大語言模型，也包含針對安全領域垂直優(yōu)化的子模型或基礎AI技術(shù)架構(gòu)。功能包括利用知識圖譜技術(shù)關聯(lián)不同來源的安全數(shù)據(jù)，展示完整的攻擊鏈路；通過自然語言交互實現(xiàn)智能化搜索、威脅推演，以及AI報告生成、安全策略建議等方面。

由于該銀行已構(gòu)建的數(shù)據(jù)中臺，因此該銀行根據(jù)具體目標場景，著手進行數(shù)據(jù)平臺的數(shù)據(jù)接入，并采集、存儲和處理來自各種安全設備（防火墻、入侵檢測系統(tǒng)、終端安全產(chǎn)品）和IT系統(tǒng)的日志、告警和流量數(shù)據(jù)，進行數(shù)據(jù)標準化和清洗，為AI模型提供高質(zhì)量數(shù)據(jù)。

然后，該銀行與專業(yè)的安全廠商合作，將大模型和垂直領域基礎AI技術(shù)對接安全廠商的安全知識庫、威脅情報和惡意樣本數(shù)據(jù)，優(yōu)先在告警分診、威脅情報分析和安全報告生成等相對成熟的AI應用場景進行試點測試。計劃收到效果后，再逐步開發(fā)異常行為分析、威脅狩獵、漏洞優(yōu)先級排序和輔助事件調(diào)查等更復雜的AI應用。

在AI應用開發(fā)過程中，該銀行非常重視AI的可解釋性和信任度問題。嘗試探索利用更多數(shù)據(jù)進行訓練、提供結(jié)果的同時提供思考過程等手段來提高AI決策過程的透明度，并進行充分的驗證和測試，以確保AI分析結(jié)果的準確性。

最后，該銀行認為AI雖然能自動化處理大量重復性任務，但最終的決策和復雜事件的處理仍然應該由安全專家進行審核和決策。因此，在自動化處理流程環(huán)節(jié)增加專家審核和反饋的環(huán)節(jié)，以提升安全運營的準確性和提高學習能力。

通過以上步驟，該銀行逐步構(gòu)建起了一個為其智能化安全運營中心提供強大支持的AI平臺，實現(xiàn)了更有效地應對日益復雜的網(wǎng)絡安全威脅。

四、智能輔助級升級為自主級（未來主流）

1.主要目標

實現(xiàn)高度智能化、自動化和自適應的安全運營，AI成為安全運營的核心引擎，安全系統(tǒng)具備自學習、自演進能力，能夠自主預測、檢測、響應和防御威脅，安全運營成為組織的核心競爭力。

2.建設內(nèi)容

1） AI技術(shù)的全面深度應用：

• 將AI技術(shù)深度融入安全運營的各個環(huán)節(jié)，實現(xiàn)全方位的智能化；
• 廣泛應用深度學習、可解釋AI(XAI)等更前沿的AI技術(shù)；
•  構(gòu)建更復雜、更精準的AI模型，例如多模態(tài)融合分析模型、自適應安全策略模型等。

2） AI Agent的自主化應用：

• AI Agent不僅提供建議，更能自主決策和行動；
• 實現(xiàn)多Agent協(xié)同，Agent負責不同任務，共同完成復雜的安全運營目標；
• AI Agent具備強大的自主學習和進化能力，能夠根據(jù)環(huán)境變化自動調(diào)整策略。

3）安全運營平臺的自適應能力建設：

• 安全平臺能夠根據(jù)當前的威脅態(tài)勢、風險評估結(jié)果、業(yè)務變化等因素，自動調(diào)整安全策略和檢測規(guī)則；
• 實現(xiàn)預測性安全，能夠基于數(shù)據(jù)和知識預測未來的安全威脅，并提前采取預防措施；
• 構(gòu)建自愈合的安全系統(tǒng)，能夠自動發(fā)現(xiàn)和修復安全漏洞或配置錯誤。

4）安全數(shù)據(jù)湖的智能化應用：

• 安全數(shù)據(jù)湖不僅用于存儲數(shù)據(jù)，更成為AI模型訓練、知識圖譜構(gòu)建、威脅狩獵的智能分析平臺；
• 利用AI技術(shù)對數(shù)據(jù)湖中的數(shù)據(jù)進行深度挖掘，發(fā)現(xiàn)隱藏的模式和關聯(lián)。

5）人機協(xié)同模式的高度進化：

• AI系統(tǒng)能夠像專家一樣思考和行動，承擔絕大部分安全運營任務；
• 安全分析師的角色轉(zhuǎn)變?yōu)閼?zhàn)略規(guī)劃者、創(chuàng)新研究者、復雜決策者和AI監(jiān)督者；
• 人機交互更加自然流暢，例如通過自然語言進行深度對話和協(xié)作。

6） 安全知識體系的自主演進：

• 構(gòu)建動態(tài)的安全知識圖譜和知識庫，AI Agent能夠自動學習、更新和應用安全知識。

3.考核指標

• 安全團隊具備強大的AI研發(fā)r和創(chuàng)新能力；
• AI Agent高度自主化運行，能夠有效提升安全運營的各個方面；
• 安全運營平臺具備強大的自適應能力；
• 安全運營的智能化水平達到業(yè)界領先；
• 能夠有效防御各種已知和未知的復雜攻擊；
• 安全運營能力成為企業(yè)的核心競爭力。

4.關注點

隨著人工智能技術(shù)在安全運營中心（ISOC）的深入應用，安全分析師的角色將逐步從傳統(tǒng)的“規(guī)則工程師”“告警分析師”轉(zhuǎn)變?yōu)椤癆I訓練師”“AI監(jiān)督員”和“安全策略架構(gòu)師”。這不僅需要高效具備傳統(tǒng)的安全技能，還需要掌握人工智能相關的知識和技能。企業(yè)需要加強對安全分析師的培訓，幫助他們實現(xiàn)角色轉(zhuǎn)型，才能充分運用人工智能技術(shù)，構(gòu)建更智能的安全運營體系。