智能化安全运营中心应用指

明 本报告中的行业数据主要为分析师市场调研、行业访谈及其他研究方法估算得来，仅供ntents关键发现 4言 6第一章背景概述当前网络安全威胁的趋势 8网络安全政策法规要求 9传统SOC的挑战 12第二章ISCSOC的升级演变 14ISOC理念 16ISOC能框架 18ISOC必性 19第三章ISCISOC工原和展 22ISOC技架构 24ISOC基技术 25ISOC智核（I能） 30第四章ISC风险识别 34威胁检测与研判 37事件响应 41运营管理 44知识问答和专家辅助 47ISC外ISOC用状 49内ISOC场用状 54国内技术和应用现状 57IOC能力成熟度模型 71织的ISOC设则 74同熟组的ISOC设案 76初始级升级到管理级 76管理级升级到自动化级 78自动化级升级为智能辅助级 82智能辅助级升级为自主级 87小组织ISOC设案 89ISOC各业解方案 89常见实施问题和建议 93ISC（按厂商首字母排序）典型案例一某金融机构安全运营平台升级案例（绿盟科技提供） 97典型案例二某省级应急管理厅安全运营平台建设案例（奇安信提供） 100典型案例三某省电力公司安全运营建设案例（亚信安全提供） 103典型案例四某能源头部企业一体化网络安全监管平台（神州泰岳提供） 107典型案例五某电网公司智能安全运营解决方案（碳泽提供） 110第八章推荐厂商（按厂商首字母排序）推荐厂商－绿盟科技 112推荐厂商－奇安信 114推荐厂商－神州泰岳 118推荐厂商－碳泽 120推荐厂商－亚信安全 121第九章挑战与未来目前面临的挑战 125未来发展 128关键发现关键发现智能化安全运营（IO）已成为企业提升安全能力的必然选择。国内市场需求强劲。据安全牛205年调研显示，国内多数组织（90%）对IC的未来发展持乐观态度，目前已有39%的组织正在开展或测试IOC的实施，尚未实施的组织中，49的组织计划在一年内进行相关采购，IC市场拥有巨大的增长潜力。ICAR/XDRAIAIAIAI模型（LM）和AIAet等技术，在智能问答、告警降噪、威胁情报分析、自动化响应、报告生成等方面取得了初步成果，呈现百花齐放的态势。IC（部分案例降噪率>80%）、告警准确率提升（（部分案例提高>80%））、安全事件分析（部分场景提升>80%）（缩短至分钟级甚至秒级（部分案例识别准确率（部分案例单日工作成果提升数倍“大模型+基础AI技术”混合架构成为主流。为兼顾通用知识推理能力与特定安全任务的专业性和效率，+基础AIAI（如M问答和生成全局视角和智能辅助；基础AI技术（基于机器学习/深度学习）则侧重于具体的威胁检测、异常识IC建设的主流技术路线。AIAet是关键发展方向，但尚处于初步阶段。AIAet具备自主决策、认知、行动、学习的能力，在自AIAetAIAet在国内安全运营中心的应用仍在早期研究和实验阶段，技术成熟度、数据质量、可解释性和可信度有待提升。人机协同是核心运营模式。IC并非旨在完全取代人工，而是强调AI与安全分析师的协同工作。AI负责AIAIAI任和有效交互是IC成功的关键。AIAet和AR数据驱动理念深化，数据治理成为关键。数据是人工智能和自动化的基础，构建安全数据湖、加强数据治理（包括数据清洗、标准化、标注、安全与隐私保护等）成为ISOC建设的关键环节，以确保为标准化分析提供高质量的数据支撑。SaaSaS化的ICIC和AI（M成为市场的重要增长点。量化管理成为核心诉求。安全运营正从定性方向定量，建立与业务目标一致的、可测量的指标体系，并通过AI进行分析和优化。以直观的安全运营效果驱动决策并展示价值，成为IC建设的重要目标。ISCIC实施策略应聚焦小场景，小步快跑是关键。成功的ISOC建设需要明确的业务目标，从解决实际痛点的小场景入手，采用分阶段、迭代式的方法，快速验证效果，逐步扩大应用范围，并重视数据治理和人才培养。引言引言在全球数字化转型的浪潮中，云计算、大数据、人工智能、物联网等新兴技术正深刻重塑着企业的运营模IT环境日益复杂SOC主要依赖人工分析和基于规则的检测方法，在应对当前复杂多变的网络安全威胁时，面临诸多瓶颈：海量告警数据中无法发现真正威胁，并导致“告警疲劳”；安全事件的分析和响应主要依赖人工，效率低下且响应速度慢；各类安全设备和系SOC为了有效应对这些挑战，智能化安全运营中心（IC）应运而生。IC并非对传统C的简单替代，而是其全面的智能化升级和能力增强。IC以数据驱动和AI赋能为核心，深度融合人工智能（特别是大语言模型、AI智能体等先进技术）、大数据分析、安全编排与自动化（AR）等技术，并强调人机协同的运营模式。其目标是实现对安全威胁的更高效、更准确、更主动、更智能的检测、分析、响应和预防，致力于构建一个能够全面感知安全态势、智能分析研判威胁、自动化响应处置事件、持续学习优化提升、人机协同高效运营，并最终实现自适应安全防御的智能化安全运营体系。IC的建设能够为企业带来多方面的价值提升。它通过AI技术显著增强威胁检测能力，有效识别未知威IC攻击路径还原，提供更深入、更全面的调查视角。借助AR平台和AIAt，可以实现自动化响应，大幅缩短应急响应时间。此外，IC利用威胁情报和AI预测技术，实现从被动响应向主动防御的转变，并根据威胁态势动态调整防御策略。同时，基于AI的风险评估和策略优化建议，以及自动化安全报告，IC支持更科学的数据驱动决策。最终，通过人机协同，AI成为安全分析师的得力助手，将其从繁琐的基础工作中解放出来，专注于更复杂、更有价值的安全任务。ICIC的发展。金融、运营商、政府、能源等行业已成为IC应用的先行者。国内安全厂商亦纷纷布局IC领域，并推出了一系列AIIC将朝着AISaaSICIC的基本ICIOCAIARAIAet技术在ICICIC的国内ICIC够帮助企业更好地理解、规划、落地和应用IC技术，显著提升安全运营能力，共同构建更加安全、智能的网络空间。第一章背景概述当今全球企业正以前所未有的速度拥抱数字化转型，云计算、大数据、人工智能、物联网等新兴技术蓬勃发展，深刻地重塑着各行各业的生产方式、运营模式和商业价值链。这场深刻的变革在带来巨大发展机遇的同ITGDPR当前网络安全威胁的趋势当前网络安全领域正面临多重严峻挑战，其威胁趋势呈现出高级化、广泛化、智能化和产业化等特点，对传统的安全防御体系提出了严峻考验，迫使组织必须构建更加主动、智能和自适应的安全防御体系。当前网络安全威胁的趋势网络安全威胁高级化、广泛化网络安全威胁的形态日趋高级化和广泛化。高级持续性威胁（APT）攻击已成为常态，越来越多的组织，APT成难以估量的损失。同时，攻击范围已从传统的IT基础设施，扩展到更为脆弱的云计算环境、物联网（I）（I攻击威胁技术和工具持续升级AIAI和自动化工具被用于快速生成复杂且高度个性化的攻击载荷，例如仿真度极高的钓鱼邮件、能够规避检测的多态恶意软件以及用于社会工程学攻击的深度伪造音视频。这使得攻击的规模更大、速度更快，并且更能绕过传统的安全防护措施。勒索软件攻击持续演变，从简单的文件加密发展到数据窃取、威胁公开的双重甚至三重勒（RaaS）网络环境复杂，范围边界模糊ITIT威胁事件频发，安全形势严峻国内网络安全事件频发，安全形势依然严峻。近年国内网络安全事件频发，给企业和组织带来了巨大的经济损失和严重的社会影响，甚至引发法律纠纷和监管处罚。这些安全事件使企业意识到必须持续提升网络安全防护能力。例如，202262241140GB223VPNSaaS3002260网络安全政策法规要求面对日益严峻的网络安全形势，全球各国政府和监管机构都在不断完善网络安全相关的法律法规、标准和政策，对企业的安全运营能力提出了更高的要求，这也成为推动ISOC发展的重要外部驱动力，推动组织提升安全运营中心的安全事件检测、响应和执行能力、主动防御和智能化等能力。网络安全法律法规和政策要求国际网络安全政策法规要求与安全运营的发展推动组织对数据安全和隐私保护的重视。同时，GDPR要求组织在发生数据泄露事件后及时通知监管机构和出行人员，这也推动组织加强安全事件的检测和响应能力，而这也是IC的核心能力之一。美国《国家网络战略》：国家网络战略要求将提升国家网络安全能力作为重要目标，强化加强网络安全信息共享、公私合作、主动防御等，该战略推动美国和组织加强安全运营中心的建设，并积极采用威胁情报、自动化安全响应等先进技术，提升安全运营的效率和效果。ISOC的建设与该战略的目标高度契合。美国《国防授权法案》（NDAA）：对美国的网络安全能力建设提出明确的要求，包括提升网络安全设备、威胁情报分析、安全事件响应等能力。NDAA推动美国加强安全运营中心的建设，并积极采用人工智能、大数据分析等先进技术，提升安全运营的智能化水平。I27000国内网络安全政策法规要求与安全运营的发展我国高度重视网络安全工作，已初步构建起较为完善的网络安全法律法规和政策体系，不断提高网络安全监管力度，为网络安全体系化提供政策保障和指导。国家战略层面习近平总书记在网络安全和信息化工作座谈会上的讲话内容，要求加快构建关键信息基础设施安全保障体系，增强网络安全防御能力和威慑能力。201742035党的二十届三中全会审议通过《中共中央关于进一步全面深化改革、推进中国式现代化的决定》聚焦建设更高水平平安中国，健全国家安全体系，强化一体化国家战略体系，增强维护国家安全能力，创新社会治理体制机制和手段，有效构建新安全格局。法律法规层面《中华人民共和国网络安全法》明确了网络运营者的安全保护义务，要求有效应对网络安全事件。如要求采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行，包括有效应对网络安全事件，和安全监测预警和事故处置。《关键信息基础设施安全保护条例》对关键信息基础设施的范围和保护要求进行了细化。如应重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏。国内监管部门要求举措行业监管层面，中国人民银行、国家能源局等部门针对金融、电力等行业发布了具体的网络安全运营指引和管理办法，提出了更具行业特色的安全要求。20202022鼓励创新此外，国家还积极鼓励技术创新和应用试点。工信部、网信办等部门组织的网络安全技术应用试点示范工作，为ISOC的发展创造了良好的政策环境。2023和流程，规范信息安全运营管理过程，推动相关安全措施的有效实施和持续改进。202292023SOC安全运营中心（SOC）作为企业安全运营的核心，通常结合技术、流程和人员能力，通过对安全威胁的检测、分析和事件响应，满足组织对安全风险管控的要求。然而，面对日益复杂和不断升级的安全威胁，以及企业IT环境的快速变化，传统的C运营模式正面临着严峻的挑战，安全运营亟须向智能化、自动化、主动化转型。传统SOC的挑战主要的挑战包括：运营效率低下，人工处理瓶颈凸显SOC数据价值挖掘不足，缺乏全局视角SOC高级威胁应对能力不足SOC0-dayIC比对层面，难以深入理解攻击者的P和意图，无法实现有效的威胁溯源和精准防御。缺乏主动性和适应性SOC与业务脱节，价值难以衡量SOC第二章ISOC概念和能力随着网络安全威胁的日益复杂和企业数字化转型的深入，传统安全运营中心（SOC）的业务边界正在不断拓展，不仅需要应对层出不穷的网络攻击，还需满足日益严格的数据安全与合规要求。这些内外部挑战使得传统的、依赖经验驱动的C运营模式难以为继，亟须向数据驱动、AI赋能的智能化安全运营中心（IC）转型。IC通过利用AI技术提高安全运营效率，并对运营进行量化管理，最终实现安全业务价值的最大化。本章将深入探讨IC的演进历程、核心理念、关键特征、目标、能力框架以及其建设的必要性。SOCSOC的业务范围扩展能力发展方面，C从单点防御到合规驱动，再到实战驱动，最终走向数据驱动、AI赋能的智能化阶段。SOC的能力升级第一阶段：单点防御阶段（2000年前）随着互联网的初步发展，早期安全威胁主要以病毒、蠕虫等为主，安全防护主要依靠部署防火墙、杀毒软件等单点安全产品进行防御，安全运营以事件驱动、人工分析为主，难以应对规模化攻击。阶段特点：（ID关注具体威胁：主要关注恶意软件（如病毒、蠕虫和单点网络事件（如端口扫描、DoS），对攻击的整体性和关联性关注不足。第二阶段：合规驱动的安全运营（2007—2015年）IM平台应运而生，但产品间缺乏联动，“告警噪音”激增，对高级威胁防御能力不足。阶段特点：安全产品堆叠：组织开始大量部署各种安全产品，例如防火墙、ID/IS、AF、防病毒软件、PN等，但这些产品往往缺乏有效地集成和联动，形成“安全孤岛”。合规驱动：安全建设的主要驱动力是满足各种安全法规和标准的要求，例如等级保护制度等。大量“噪音”急剧增加：各种安全设备产生大量的相关信息，其中大部分是误报，安全分析师难以全面识别出真正的威胁，导致告警疲劳。第三阶段：实战驱动的安全运营（2015年左右至2022年左右）APT0-dayUEBA阶段特点：关注实战效果：组织开始关注安全运营的实际效果，而不仅仅是满足合规性要求。安全建设从合规驱动转向实战驱动。主动防御：组织开始重视主动防御，例如威胁情报、威胁狩猎、欺骗防御等。XDR第四阶段：数据驱动、AI赋能的智能安全运营（2022年至今）AI赋能的智能化阶段，IC成为核心概念，通过大数据、AI技术（特别是大模型和AIAet）实现威胁检测、事件分析、响应处置、威胁狩猎等环节的自动化和智能化，构建人机协同、持续进化的主动防御体系，以更高效、更智能的方式应对复杂多变的网络安全威胁。阶段特点：数据驱动：以数据为核心，构建安全数据湖，为安全分析提供全面的数据支撑。AIAIAI智能体作为IC自动化：实现安全运营流程的自动化。关注效果和效率：不仅关注安全防护的效果，还关注安全运营的效率和成本。量化管理：建立量化的安全指标，对安全运营体系的效果进行量化和评估。ISOC（IC的核心理念是以数据驱动和AI据是AI模型训练和优化的基础，为AI赋能提供高质量的数据支撑，从而提升智能化水平；反过来，AI赋能又通过增强数据处理和分析能力（如提升数据质量、整合更丰富的情报数据），并结合安全专家的经验，实现更精准的决策。SC1）ISC的主要特点IC的主要特点体现在其对传统C能力的全面增强。具备更广泛和深入的数据感知能力，集成多源异构数据，提供事件的全面上下文；拥有更智能的威胁检测能力，应用AI技术准确识别已知未知威胁，降低误报漏报；实现更自动化的事件响应，通过AR和AIAet缩短响应时间；具备更强大的数据分析能力，利用大数据和AI模型进行深度分析；构建更主动的防御能力，利用威胁情报、AI预测、威胁狩猎等实现事前预防；倡导更高效的人机协同，AI辅助分析决策，分析师专注于复杂威胁研判；拥有更持续的优化能力，利用AI模型的自学习能力实现安全运营体系的持续进化。2）ISC的主要目标IC的主要目标是多维度的。致力于提高安全运营效率，通过AI驱动的检测和自动化响应缩短MD和MR；降低安全运营成本，通过自动化减少对安全专家的依赖，降低人力成本，并通过精准防御减少安全事件损失；增强威胁检测和响应能力，有效应对未知威胁、高级威胁和异常行为；构建主动防御体系，利用威胁情报、AI预测等技术，实现从事后响应到事前预防的转变；实现数据驱动的安全决策，利用AI对安全数据进行深度分析，提供科学决策依据；实现安全投资价值最大化，通过高效运营提升安全防护水平。ISOCIC的核心能力是依托安全数据和AI技术，深度赋能安全运营的各个环节，构建以数据驱动、AI赋能、自动化响应为特征的新一代安全运营体系。IAI赋能的风险识别能力IC通过广泛利用AI技术，在风险识别方面实现显著增强，从事后补救转向事前预防。这包括智能化的资产管理，利用AI自动发现、分类、评估资产风险，并构建资产关系图谱；持续的暴露面管理，利用AI自动化进行漏洞扫描、渗透测试、配置核查，并智能排序漏洞优先级，提供修复建议；以及深入的风险评估，利用AI结合威胁情报、业务环境等因素，进行全面的、动态的风险评估和预测。AI赋能的威胁检测与研判能力IC通过AI技术，显著增强了威胁检测的准确性、效率和覆盖范围，特别是在未知威胁和高级威胁检测方面。这包括利用AI进行智能化的告警筛选与分诊，快速识别高优先级事件，降低告警噪音；通过AI驱动的（如EANDR/NAI算法进行智能化的事件分析研判，深度挖掘事件关联性、构建攻击链路、还原攻击场景、预测攻击意图，为响应处置提供决策支持。AI赋能的自动化响应能力IC（MR）并最大限度减少损失。包括智能化的事件分级与优先级排序，确保关键威胁优先处理；AI驱动的事件分析研判，为响应决策提供关键支撑；自动化响应编排，通过AR平台和AIAe，根据分析结果或预定AIAI赋能的数据驱动能力IC的数据驱动，核心在于将海量、多源的安全数据转化为可行的安全洞察和智能行动。不仅需要全面、AI系（如MD、MR、告警准确率、风险评分等），结合AI驱动的持续数据分析，实现对运营效果的精准评估与持续优化，从而驱动基于数据的安全决策，最终确保安全投入的价值回报最大化，并实现安全运营体系的AIIOCISOC的建设对现代企业的必要性日益凸显。不仅能有效解决传统安全运营模式的痛点，还能够显著提升组织应对日益严峻和复杂的网络安全挑战的能力，并最终保障业务的安全、稳定运行。具体体现在以下几个方面：

智能安全运营中心的必要性ICAT攻击ICAI其次，ISOC能够解决安全运营的痛点。传统安全运营面临告警数量大、误报率高、安全事件响应周期长、安全运营人员专业能力要求高等问题。ISOC通过AI驱动的告警降噪、自动化响应、智能分析等手段，能够降低误报率，提高告警准确性，加快安全事件响应速度，减轻安全运营人员工作负担。通过自动化编排，将安全运营流程由手工模式转为自动化模式，以提高网络安全事件处置效率。ICIOC能够为企业带来实实在在的价值。通过量化指标体系，可以实现对安全运营效果的全面评估和持续改进，确保安全投入的回报最大化。第四，IC求。IC能够帮助组织梳理安全流程，建立安全制度，利用AI技术自动化进行合规性检查，满足等级保护、GDPRICIC第三章ISOC的关键技术（IC通过数据驱动和AI了未来安全运营的发展方向。本章将深入探讨IC的工作原理、智能化发展阶段、技术架构支撑以及其运营的关键技术，全面阐述IC如何引入人工智能和自动化技术，实现安全运营的转型升级。ISOC工作原理IC系统上的传感器或接口，全面采集海量、多源的安全相关数据（日志、流量、告警、行为、情报等）。这些原始数据被汇聚至安全数据湖或安全大数据平台进行集中存储、清洗、标准化和丰富化处理，为后续分析奠定高质量的数据基础。接着，AI分析引擎利用机器学习、深度学习、NP、知识图谱等技术对处理后的数据进行深度分析，进行威胁检测、异常行为识别、事件关联和风险评估。AIAt作为智能中枢，接收并综合分析引SOAR平台则根据AIAetAPI接口实现威胁的AIAIIC（包括AISC智能化发展ICSC第一阶段：自动化阶段－夯实基础自动化阶段的核心目标是将安全运营中重复性、规则明确、耗时的人工任务自动化，以提高效率、减少人SOAR第二阶段：整合与优化阶段－提升智能整合与优化阶段的目标是将不同的安全工具和AI系，并利用AI技术对安全运营流程进行优化。关键技术特点包括引入基于Aet的架构，让AIAt负责特AIAet能够从实践和分析师反馈中持续学习和AIAt智能规划调查路径和响应措施；构建AIAet提供丰富的上下文；以及应用大语言模型（LLM）进行安全事件分析、报告生成、知识问答等，进一步提升效率和智能化水平。第三阶段：自主智能阶段－实现自主适应自主智能阶段的目标是实现安全运营的高度自主化和自适应，使安全系统能够自动适应新的威胁和环境变AIAet之间以及AIAet与分析师、外部知识库之间能够共享结果和经验，实现系统的共同进化；构建动态、快速的响应机制，利用集体智慧和强化学习等技术，自动调整实时策略以应对不断变化的威胁；实现优化的资源分配，根据风险等级、影响范围和成功可能性，智能地优先处理安全事件和分配运营资源；达成自适应安全，系统能够根据风险评估结果动态调整安全策略和控制措施；以及实现持续学习与进化，IC能够不断从新的数据和反馈中学习，优化AI模型、策略和流程，保持对新兴威胁的防御能力。ISOCIC收集多源异构的安全相关数据；数据汇聚层通过IM和安全数据湖实现数据的集中存储、预处理和管理；智能分析层利用AIBAIPAIAetSOARAIAet交互界面，支持人机协同。AIAet作为核心智能体，贯穿各个层次，进行协调、决策和学习。IT基础设施（网络、计算、存储）是整个架构的基础支撑。整个架构通过“数据汇聚－感知理解－知识总结－决策行动－持续学习”的闭环循环，驱动IC不断进化，构建主动、智能、自适应的安全防御体系。数据处理层

SC数据处理层作为IC的数据枢纽，负责汇聚来自数据采集层的海量、多源异构数据，并进行高效地管理和处理。核心功能包括数据汇聚（统一接收日志、流量、告警、情报等）、数据清洗与转换（去重、格式化、标准化、丰富化）、数据存储与管理（利用大数据技术如Hdoop等构建安全数据湖或增强型IM）、数据索引与查询（支持快速检索）以及数据访问控制。其关键在于保证数据的全面性、准确性、实时性和可用性，为上层智能分析提供高质量的数据基础，并通过统一接口实现数据共享。智能分析层智能分析层作为IC的“大脑”，负责利用AI技术对汇聚的数据进行深度分析，实现威胁检测、事件分析和决策支持。核心功能包括AI（析与应用（利用NP、知识图谱等分析情报、提取IC、构建攻击者画像）、AIAet的智能决策（基于分析结果和知识库生成响应建议或预案）以及可解释AI（提供模型决策依据）。该层是IC实现智能化的关键，需要强大的AI模型库和知识库支撑。编排响应层编排响应层作为IC的“手臂”，该层负责将智能分析层的决策转化为具体的行动，实现安全事件的自动化响应和处置。核心功能包括安全剧本编排（通过可视化或低代码方式定义响应流程）、自动化执行（协调AR平台调用各安全设备APIAIAet（接收AIAet生成的响应预案并执行）、案例管理（记录和管理事件处置全过程）以及审批流程（对高风险操作进行人工审核）。关键在于与各安全工具和IT系统的广泛集成能力以及剧本的灵活性和可靠性。操作交互层操作交互层作为IC与安全运营人员之间的接口，该层负责提供友好的人机交互界面和工具，支撑人机协同。核心功能包括安全态势感知（通过仪表盘、图表、地图等可视化展示安全态势）、事件调查与分析（提供统一工作台和分析工具AIAt（查看AI（自动或半自动生成各类安全报告）。关键在于提升用户体验，降低操作复杂度，促进AI与人的高效协作。ISOCICICAI大数据处理技术

SC大数据管理技术包括分布式存储（如Hdoop、atcch）、分布式计算（如rk、ik）、流处理、数据仓库、数据挖掘等，是处理IC海量安全数据的基础，主要能力包括：ITsog、JN、X机器学习、V等。IC（例如数据库日志、（例如JSONXML格式的日志（例如文本格式的数据汇聚：将来自各个数据源的海量安全数据汇聚到一个或多个中心节点，进行集中存储和管理。数据清理和转换：对数据进行清理、去重、格式转换、范式化等操作，形成统一的数据格式。数据存储和管理：利用大数据技术，对海量安全数据进行高效地存储和管理。数据索引和查询：对数据进行索引，支持快速地检索和查询。数据访问控制：对数据访问进行权限控制，保证数据的安全性。技术关键点：确保数据的全面性、实时性和高质量。应制定统一的数据采集规范，明确各个数据源需要采集的数据类型和格式；建立数据质量监控机制，及时发现和处理数据质量问题；利用消息队列等技术实现数据的实时传输和处理。确保数据的可访问性和可用性，以及数据分析的高效性。应为智能分析层提供统一的数据访问接口；智能分析层根据分析需求从数据湖中查询和获取数据，并利用大数据处理技术提升数据分析的效率。人工智能技术人工智能技术是IC的核心，涵盖机器学习/深度学习、自然语言处理（NP）、知识图谱、大语言模型（LM）、AIAet技术等。大模型应用技术大模型在安全运营中，大模型的优势是自然语言理解和生成能力、擅长理解复杂语境、自然语言、跨领域知识，主要能力包括：对话交流。安全人员可以使用日常语言与模型交流，获取信息和指导，降低安全工具的使用率，提高工作效率。典型应用：日志解析和故障排除。解读日志数据，识别系统故障、配置错误及异常行为。安全智能向导。通过和用户交互，查询对应的管理策略或要求，辅助人员快速获取需要的信息。钓鱼邮件生成。根据钓鱼邮件主题，自动生成对应内容钓鱼邮件，满足攻防演练需求。AI自动生成报告。快速生成事件报告。推荐剧本。在安全分析研判之后，推荐可以进行处置的剧本。机器学习/深度学习机器学习/深度学习可以使计算机能够从数据中学习，从数据中自动提取模式和规律，并利用这些模式进行预测或决策，分为监督学习、非监督学习、强化学习等多种类型。其中深度学习是机器学习的一个分支，使用神经网络来分析复杂数据，处理高维度、无形的数据，例如图像、文本、音频、序列数据等，能够自动学习复杂的特征表示。主要能力包括：回归：预测一个连续的数值，例如预测安全事件的风险等级、预测未来的攻击频率。异常检测：识别异常模式的数据点，例如识别异常的用户行为、异常的网络流量等。关联规则挖掘：发现数据中隐藏的关联关系，例如发现不同安全事件之间的关联。图像识别：识别图像中的物体、场景等，例如识别物体软件的图像。自然语言处理：理解和处理人类语言，例如分析邮件内容、识别钓鱼网站等。特征提取：自动从原始数据中学习特征表示，例如从网络流量数据中学习特征。APT0-day典型应用包括：（和动态（DNSHTTPS漏洞利用检测、0-day（零日漏洞）的攻击。这通常需要利用异常检测或行为分析技术。APT知识图谱知识图谱是一种用图结构来表示知识的方法，它由节点和边组成，节点表示实体或概念之间的关系，边表示实体或概念之间的，能够表示实体之间的复杂关系，支持推理和查询，并可以融合多个源数据。技术典型应用包括：威胁检测与分析：知识图谱能够通过实时关联不同来源和类型的数据，发现数据之间的隐藏关系，构建完整的攻击链路。安全基线检查：知识图谱能够关联各种安全管理要素，例如资产、漏洞、威胁和安全策略，可以评估安全配置的有效性和完整性威胁情报分析：构建威胁情报知识图谱，将攻击者、攻击手段、恶意软件、漏洞等信息关联起来，帮助安IP等信息关联起来。安全事件关联分析：利用知识图谱进行安全事件的关联分析，例如发现不同安全事件之间的关联，还原攻击者的攻击路径。例如将来自IM、DR、NDR等平台的安全事件关联起来，构建攻击事件的知识图谱，从而发现隐藏的攻击链。TTPSOAR安全编排自动化与响应（SOAR）实现安全事件响应流程的自动化，旨在提高安全运营效率，快速响应安全事件，并减轻安全人员的工作压力。技术典型应用包括：边界一键封堵：发现恶意IP攻击后，联动防火墙封堵外部恶意IP访问策略。终端一键查杀：发现病毒攻击后，进行病毒查杀及终端隔离，账号禁用。恶意软件检测与隔离：检测到恶意软件，自动隔离受感染主机并通知安全团队。钓鱼邮件响应：检测到钓鱼邮件时，自动隔离邮件并通知相关人员。勒索软件响应：检测到勒索软件活动，自动隔离受感染主机并通知安全团队。DDoSDDoS内部威胁检测：当检测到异常内部访问行为时，自动锁定账户并生成调查报告。挖矿检测封锁：将流量中的域名、IP、pot、时间等数据发送至DR，由DR证实风险程度，通过AR给防火墙下发封禁域名/IP信息命令。威胁情报威胁情报为ISOC提供了关于攻击者、攻击手段、恶意软件等方面的知识，帮助分析师更好地了解安全威胁，并采取更有效的防御措施，是实现主动防御的关键。例如异常行为或流量的研判、攻击者画像、制定应对措施等。技术典型应用包括：IM：将威胁情报集成到IM系统中，提高告警的准确性和优先级。入侵检测系统（ID）/入侵防御系统（IP）：使用威胁情报检测和阻止恶意入侵。终端安全：在终端设备上部署威胁情报，检测和阻止恶意软件。钓鱼邮件防护：识别和阻止钓鱼邮件，保护用户免受攻击。态势感知：通过威胁情报提升对网络安全态势的整体理解。关键技术点应收集来自各种来源的威胁数据，如开源情报、商业威胁情报、社交媒体、暗网论坛等。通过安全厂商通过与客户合作，在客户现场进行安全服务，形成实战报告，从中获取实战数据，用以训练威胁情报模型。构建威胁情报知识图谱，描述实体之间的关系，提供威胁信息的上下文。智能化威胁情报的收集、分析和分发过程，提高效率。ISOC（AI）AI智能体是IC的核心技术之一，也是实现安全运营智能化、自动化和自适应的关键。AI智能体能够模拟人类专家的思维和行为，自主执行安全运营任务，并与安全分析师协同工作，从而大幅提升安全运营的效率LMAIAIAI智能体的关键能力AIAetAIIAPIIMDRNDR/NEAIPDPM等多个安全平台获取数据，进行数据的构建和标准化，构建对安全数据的全面采集。AI（，并利用推理引擎（例如规则引擎、逻辑推理、概率推理等）对采集到的信息目的进行推理，判断安全事件的性质、攻击的性质、影响范围等。基于AI模型的分析能力：AI智能体能够调用各种预先训练好的AI模型（例如机器学习模型、深度学习模型、NLP模型等）进行威胁检测、异常分析行为、风险评估、攻击路径还原等。AIAI智能体能够协调AR离终端、阻止IP、取消账号等。AI优化自身的知识库和AI模型，提高对未知威胁的检测和响应能力。AIAI智能体的工作流程AIAet的工作流程遵循“感知－认知－行动－学习－记忆”的循环，持续监控环境、分析威胁、执行响应、学习和进化。I）AI智能体处理流程如下（以告警处理为例）：收集来自SIM/SC的相关信息（如DRNDRAF等IM/OCIM/OC收集告警信息并进行初步处理（标准化、去重等），然后将处理后的信息发送给AI智能体。根据告警获取更多信息AI智能体自动执行信息收集和查询，无需人工干预。利用API集成和自然语言处理（NP）技术自动查询IM/OCDR件等信息，从NDR/NTA获取相关的网络流量数据，从UEBA获取相关用户的行为信息，从情报库查询威胁情报，获取IC信誉、攻击者信息等，从资产数据库：获取相关资产的信息（例如，服务器的用途、操作系统、应用等），从漏洞数据库获取与相关的漏洞信息。AI智能体告警分析调用和编排各种AI模型，并整合分析结果。如AI智能体对其他事件进行分析，判断其真实性、风险等级和影响范围，运用多个AI模型进行分析，如利用威胁分类模型确定相似的类型（例如，恶意软件、网络入侵、数据泄露等）。知识图谱进行推理，例如，判断其他中的IP地址是否与已知的恶意IP地址相关联。智能决策与响应推荐AIAI（IP、禁用账号、清除恶意软件等。AI智能体可以根据预定义的响应策略和当前的对应信息，自动生成针对该对应的响应预案，包括具体的响应步骤、负责人、时间要求等。优化和更新AI智能体监控利用AI如误报、漏报、提供正确的响应措施等，而AI智能体根据更新AI模型和知识库，提高自身的性能，并将新的IC、攻击模式、响应策略等更新到知识库。AI智能体在ISC中的应用场景AIAet在IC中的应用场景非常广泛，包括但不限于异常行为分析、威胁分析、威胁调查取证、智能事件调查、自动化响应、主动威胁狩猎、安全策略优化、安全风险评估、自动化安全报告生成等。异常行为分析智能体

Int利用机器学习模型，为每个用户构建行为画像，描述其正常的行为模式，如：正常登录时间、正常访问权限、正常访问数据等，并开展异常行为检测，发现非正常行为模式的异常行为，例如：异常登录、异常访问、异常权限使用、异常数据访问等，并将告警发送给后面的内部威胁分析智能体。威胁分析智能体结合UEBA、DLP的数据外发、EDR的终端异常行为等数据，进行综合分析，判断是否存在内部威胁。并将检测到的异常行为与情报中的威胁情报进行关联，例如，判断某个用户的行为是否与已知的内部威胁指标一NLP威胁调查取证智能体收集与威胁事件相关的数据，例如日志、文件、邮件等记录，利用知识图谱等技术，还原内部威胁事件的完整流程，并以可视化的方式呈现给安全分析师。对于高优先级告警，智能体会生成详细的告警报告，包括告警描述、可能的原因、建议的处理措施等，并通过即时通讯工具、邮件或告警系统推送给运维人员。对于低优先级告警，智能体会记录到日志中，供后续分析或定期回顾。其他智能体类型还有：智能事件调查：自动收集与事件相关的信息，进行关联分析、攻击路径还原、根本原因分析，并提供调查建议。SOAR主动威胁狩猎：根据威胁情报和AI模型的分析结果，主动搜索潜在的威胁。安全优化策略：根据历史安全事件和当前的威胁，提供安全策略优化的建议。安全风险评估：利用AI模型对安全风险进行量化评估。自动化安全生成报告：根据安全事件的分析结果，自动生成安全事件报告。1）AI智能体的优势AIAet的优势包括可提高效率、提升准确性、增强主动性、降低成本、持续学习、适应性强。提高效率：智能化执行安全运营任务，减少人工干预，提高效率。提升准确性：利用AI模型进行更准确的威胁检测、事件分析和响应决策。增强主动性：实现主动威胁检测、主动威胁狩猎和主动防御。降低成本：减少对安全专家经验的依赖，降低人力成本。持续学习：不断学习新的威胁数据，持续提升自身的能力。认知能力强：能够适应不断变化的安全威胁和环境。挑战：数据质量：AI智能体的性能高度依赖于数据质量，需要保证数据的全面性、准确性、及时性和一致性。模型可解释性：AI模型的决策过程需要透明和可解释，增强安全分析师的信任度。AI智能体安全性：AI智能体本身也可能成为攻击目标，需要采取措施来保证AI智能体的安全性。AI智能体故障：需要确保AI智能体的决策和行动是可靠的，避免误操作。人才需求：需要既懂安全又懂AI的复合型人才来构建和维护AI智能体。技术成熟度：AI智能体技术仍处于发展阶段，需要不断探索和完善第四章ISOC的典型应用场景（IC通过将AI技术与传统CCICIC在这些核心场景中的智能化应用。风险识别

图SC组织通常拥有大量IT风险识别应用场景IC通过引入AI技术，对风险识别的各个环节进行智能化赋能，实现了从事后补救到事前预防的转变，为构建主动防御体系奠定了坚实基础。资产管理

智能化风险识别面对组织IT资产数量庞大、种类繁多、变更频繁的现状，传统手工管理方式效率低下且易出错。IC利用机器学习、知识图谱和自然语言处理（NLP）等技术，实现了资产的自动发现、精准分类、动态变更检测以AINP技术则能从配置文档中提取关键属性；知识图谱则构建资产间的依赖关系。这种智能化的资产梳理方式，不仅大幅提高了资产盘点的效率和准确性，消除了管理盲区，还为后续的安全策略配置、漏洞管理和风险评估提供了可靠的基础数据。智能化优势：提高资产盘点效率：自动化资产盘点提高效率，降低人工成本。全面掌握资产信息：提供完整、准确的资产清单，消除管理盲区。及时发现资产变更：快速识别未授权的资产变更，降低安全风险。可视化资产关系：通过知识图谱，清晰显示资产之间的关联关系，从而进行风险评估和事件调查。日志等数据，实现多源资产数据的自动整合、属性信息补全、资产清单生成及变更记录，为解决数据孤日志等数据，实现多源资产数据的自动整合、属性信息补全、资产清单生成及变更记录，为解决数据孤岛、威胁检测提供了可靠的数据基础。亚信安全的新一代XDR平台通过广泛接入第三方系统的资产数据，包括云、网络、端行为数据和第三方厂商案例风险评估技术机器图谱传统的风险评估依赖人工经验和静态规则，难以全面、动态地评估复杂环境下的安全风险。IC利用AI提升风险评估的智能化水平。通过强化学习，可以自动化模拟攻击者的漏洞扫描、利用和路径规划过程；学习模型可以根据漏洞的可利用性、威胁情报、资产重要性等因素，智能评估风险并优化防御策略；知识则关联资产、漏洞、威胁等信息，提供更全面的风险上下文；自然语言处理技术则可用于自动化生成风险AI技术机器图谱智能化优势：提高渗透测试效率：自动化执行渗透测试，整个测试周期。降低渗透测试成本：减少对人工渗透测试专家的依赖。扩大渗透测试覆盖面：对目标系统进行更全面、更深入的安全测试。提高渗透测试质量：发现更多潜在的安全漏洞。碳泽的自动化渗透系统通过模拟真实黑客的攻击，自动化验证漏洞危害，从而验证漏洞的测试破坏碳泽的自动化渗透系统通过模拟真实黑客的攻击，自动化验证漏洞危害，从而验证漏洞的测试破坏性以及企业安全防护的效果行为，更准确地评估安全风险。厂商案例自动化渗透测试和漏洞全生命周期管理IC实现了漏洞全生命周期的智能化管理。NLPCVE智能排序漏洞优先级；利用知识图谱分析漏洞与资产、业务的关联，评估影响范围并推荐修复方案。同时，AI驱动的自动化渗透测试能够模拟攻击者行为，自动发现、利用漏洞并规划攻击路径，最终生成包含修复建议的详细报告。这不仅提高了漏洞管理的效率和质量，降低了人工成本，还能优先修复高危漏洞，准确评估漏洞影响，避免盲目修复带来的业务中断。智能化优势：自动化漏洞管理流程：提高漏洞管理效率，降低人工成本。确定风险修复优先级：优先修复高危漏洞，降低安全性。准确评估漏洞影响范围：避免盲目修复，减少业务中断时间。提供智能修复建议：加快漏洞修复速度，提高修复质量。IPNFTEM（持续威胁暴露面管理），实现漏洞管理的闭环管理，将安全左移，提升漏洞运营的效率和效果。碳泽的安全运营自动化平台集成了漏洞管理和自动化渗透测试功能，能够真实模拟攻击者的行为，自动进行全面的漏洞利用和测试，验证漏洞稀释和安全防护效果，并通过工单系统、漏洞验证等功能，实现漏洞的全生命周期管理。厂商案例威胁检测与研判SOC威胁检测应用场景IC威胁检测

智能化威胁检测IC通过对日志、网络流量、终端行为及安全告警数据等进行深度分析，利用AI技术检测潜在威胁及异APT0-day技术通过分析用户和实体行为，检测异常模式；知识图谱则关联安全事件与威胁情报，评估风险等级。这些智能化手段显著提高了威胁检测的准确率、覆盖范围和效率，降低了误报率和漏报率，并缩短了威胁响应时间。智能化优势：提高威胁检测准确率：降低误报率和漏报率。检测高级威胁：识别传统方法难以检测的高级持续性威胁（APT）。缩短威胁响应时间：快速识别和定位威胁，加快响应速度。提升安全运营效率：智能化威胁检测和评估，减轻安全评估负担。绿盟科技绿盟科技IPalad解释，并基于场景给出研判方法和依据。级威胁场景；亚信安全新一代XDR平台提供多维分析体系，覆盖APT、钓鱼、加密流量、无文件攻击、勒索等多种高奇安信ICI厂商案例告警降噪面对海量日志数据，IC利用AI技术进行精准降噪，将真正有价值的告警从大量噪音中提取出来。自然语言处理（NLP）技术用于解析日志，提取关键信息并进行语义分析；机器学习模型（如聚类、异常检测）识别异常日志模式；深度学习模型分析日志序列，识别潜在攻击行为；知识图谱则关联不同来源的日志数据，还原事件完整流程。这种智能化的告警降噪方式，自动化了日志筛选和分析过程，提高了效率和准确性，帮助安全分析师快速发现安全事件，提升了事件调查效率和安全设备的价值。智能化优势：智能化日志分析：提高日志分析效率，降低人工成本。快速发现安全事件：及时识别异常日志事件，发现潜在威胁。提高事件调查效率：通过日志关联分析，快速定位事件原因。提升安全设备采集：从海量日志数据中提取有价值的安全信息，全面了解安全设备。厂商案例厂商案例奇安信提供告警关联智能体，对告警进行分类筛选和关联，推荐升级为事件；亚信安全新一代奇安信提供告警关联智能体，对告警进行分类筛选和关联，推荐升级为事件；亚信安全新一代XDR平台利用大模型结合业务场景进行AI降噪；IP情报生成和利用言处相关新防威胁情报是ICIC利用AI理（NP）技术从非结构化情报文本中提取关键信息（如IC、攻击者P、漏洞信息等），并自动生成性等因素，对情报进行优先级排序和可信度评估。AIAet更能自动将高价值情报应用到安全设备（如更火墙规则、ID/IS签名、DR检测规则等）和响应流程中。这极大地提高了情报分析效率和利用率，增言处相关新防强了威胁检测能力和主动防御能力。智能化优势：智能化情报分析：提高情报分析效率，降低人工成本。快速获取关键情报：及时了解最新的安全威胁和攻击趋势。提高威胁检测能力：利用威胁情报，提高威胁检测的准确性和时效性。加强威胁情报共享：与合作伙伴共享威胁情报，共同防御网络攻击。动化威胁评估、实现终端安全和邮件安全自动化。动化威胁评估、实现终端安全和邮件安全自动化。碳泽的千乘平台对威胁情报进行信息提取，通过ATT&CK框架实现情报的落地应用，并通过情报进行自理分析能力，实现情报的智能融合与深度挖掘，并以自然语言的形式提供专家级解读与分析。I（NTP）I安全风险威胁及威胁。RIC情报中心，实现内部情报生产。IC（IP），提取至威胁厂商案例4）0day和高级威胁检测像，和长传统OC基于规则的方法难以识别0dayATIOCAI像，和长，降低了误报率，加强了账户安全，并加快了威胁响应速度。智能化优势：降低误报率：通过学习用户正常行为模式，减少误报。提高威胁响应速度：及时发现和阻止内部威胁。检测内部威胁：识别内部人员的不当行为或账户泄露。碳泽的千乘平台针对钓鱼场景，实现按需的特征化邮件自动分析，并根据结果自动进行决策，及执行拦碳泽的千乘平台针对钓鱼场景，实现按需的特征化邮件自动分析，并根据结果自动进行决策，及执行拦截邮件、发送预警等后续动作。现对高级威胁的场景化分析，并结合云网端全视角监测异常行为。XDRTrustOne+TDA整的攻击序列，从而更准确地判断攻击行为并及时发现潜在威胁。T厂商案例5）事件调查安全事件调查需要分析大量数据、梳理脉络、追溯源头，传统人工分析效率低且易出错。IC利用AI技术显著提升了事件分析的效率和深度。知识图谱技术能够关联不同来源的数据，构建事件关系图谱，还原攻击路径，分析攻击者特征。自然语言处理技术能够自动生成事件摘要，方便分析师快速了解情况。机器学习模型可以辅助进行攻击源定位、攻击手段识别和根本原因分析。大语言模型（LLM）则能帮助快速生成调查报告。AIAet更可以自动化执行信息收集、关联分析和初步调查任务。这些智能化手段帮助安全分析师快速、准确地了解事件来龙去脉，确定根本原因和影响范围，为响应和处置提供更可靠的决策支持。智能化优势：提高事件调查的效率和准确性。帮助安全分析师更快地找到事件的根本原因和影响范围。为安全事件的响应和处置提供更全面的信息支持。响面分析。响面分析。IP奇安信的IC厂商案例事件响应全事CAIIC可以实现安件响应的智能化和自动化，以及安全报告的自动生成，从而大幅提升安全运营的效率和效果，降低安全风全事险。事件响应应用场景IC通过AI赋能实现安全事件响应的智能化和自动化，包括自动化响应、动态调整策略及报告自动生成AI智能体的应用，使得IC能够更智能地进行响应决策和自动化编排，提升事件响应效率和报告的快速生成。自动化响应

智能化事件响应IC利用AR平台和AIAet的赋能，显著提升安全事件的响应速度和效率，缩短安全事件的响应时MRAIAet案。这些预案随后由AR平台自动化执行，通过与各种安全设备（如防火墙、DR、IAM等）的API集成，IPAI智能化优势：提高响应效率：快速响应安全事件，减少响应时间。减轻分析师负担：使专家聚焦分析处理更复杂的安全问题。降低安全风险：及时阻止威胁扩散，减少安全损失。减少人为错误：自动化执行响应动作，避免人为操作失误。IPSOAR现全流程威胁检测和智能支持。I进行检测。EDRSOAR/PRIE，厂商案例报告自动生成按照件报ICAI技术，特别是大语言模型（LM），在此环节发挥重要作用。M可以理解分析结果，并预设模板或特定要求（例如不同汇报对象），生成结构清晰、语言流畅、重点突出的安全报告，如安全事告、安全态势报告、合规报告等。虽然目前有厂商反映，生成符合特定复杂格式要求的报告仍有挑战，但化报告生成已大大减少了安全分析师的工作量，提高了报告的时效性和一致性。按照件报报告，为管理层推荐后续治理和预警建议。报告，为管理层推荐后续治理和预警建议。IC（厂商案例月报，自动导出报告。XDR运营管理随着安全运营业务范围的扩大，涵盖模拟演练、数据安全和合规评估等领域，传统的管理方式面临诸多挑ICAIAe运营管理应用场景ISOC通过引入人工智能技术，特别是AI智能体，实现了安全运营管理的高效智能化、自动化，能够帮助企业更全面地进行资产管理、风险评估和评估规范，并提供智能化的决策支持，提升整体安全管理水平。模拟演练

智能化运营管理传统的安全演练投入大、场景单一、效果难评估。IC利用LM生成演练剧本，知识图谱构建演练环境AIGANARNP和LM自动生成演练报告。这使得演练场景更真实、执行更高效、结果更可重复、评估更全面。智能化优势：更真实的模拟场景：更真实的场景，模拟更复杂，提高演练的效果。更高效地演练：自动化执行演练，减少人力和时间投入。更可重复的演练：可以多次重复执行演练，增强不同防御策略的效果。更全面地评估：全面评估安全团队的应急响应能力和安全防御水平。联通数科的“社工钓鱼专家”可以实现钓鱼主题定制化、邮件内容专业化、邮件编写自动化，模拟更真联通数科的“社工钓鱼专家”可以实现钓鱼主题定制化、邮件内容专业化、邮件编写自动化，模拟更真实的钓鱼攻击场景。IP厂商案例数据安全IC利用AIAt进行自动化数据资产发现和分类分级（NLP、机器学习）；NDRAI（智能化优势：全面性：更全面地发现和识别数据资产，覆盖各种类型和位置的数据。准确性：更准确地识别和分类敏感数据，减少人工标记的错误和遗漏。实时性：实时监控数据访问和流动情况，及时发现数据安全风险。自动化：自动化执行数据安全装载的各个部分，提高效率，降低成本。可视化：以可视化的方式展示数据安全现状，帮助安全团队更好地了解数据安全状况。安恒信息研发了数据安全的多个智能体，实现了数据分类分级、数据外发保护等功能，并取得了比较好安恒信息研发了数据安全的多个智能体，实现了数据分类分级、数据外发保护等功能，并取得了比较好的效果。碳泽的千乘平台利用智能分级引擎实现数据自动标注、自动生成《数据跨境风险评估报告》，实现数据管理效率大幅提升。厂商案例传统合规评估依赖人工解读标准和检查配置，效率低、易出错、难覆盖、更新慢。IC利用NP技术自析法规、标准和策略，提取合规要求；AIAet自动调用工具进行配置核查，与合规要求比对，识别不符5）合规评估动解合项；基于知识图谱关联法规、资产、配置等信息进行合规性评估；并自动生成合规报告。这提高了合规评估率、准确性、覆盖面和时效性，并支持持续监控。5）合规评估动解合项智能化优势：提高效率：自动化执行合规性检查和评估任务，极大地提高工作效率。降低成本：减少人工检查的工作量，降低合规成本。提升准确性：减少人为错误，提高合规性检查的准确性和一致性。全面覆盖：可以对企业的IT系统和安全措施进行更全面的合规性检查，避免遗漏。及时更新：能够及时跟踪安全法规和标准的变化，并更新合规性检查规则。持续监控：可以持续监控企业的合规状态，及时发现和整改不符合要求的项目。厂商案例厂商案例奇安信奇安信IC碳泽的千乘平台实现自动生成合规审计包，形成三合一证据链，提高监管检查准备时效和合规覆盖度。知识问答和专家辅助SOC知识问答和专家辅助应用场景IC智能化优势：

知识问答和专家辅助智能体识别潜在威胁。对采集到的数据进行实时分析，快速准确地识别出潜在威胁，减少人工干预。精准识别高价值告警。将安全运营人员从海量告警中解放出来，聚焦关键威胁。厂商案例厂商案例ICIPCXDRUltC第五章国内外ISOC发展现状智能化安全运营中心（ISOC）作为应对日益复杂网络威胁的关键，其发展在全球范围内呈现出蓬勃态势。国内外在应用成熟度、技术侧重和市场特点上存在差异。国外ISOC市场起步较早，通过广泛深入地应用人工智能技术，已在威胁检测、自动化响应、风险管理等方面展现出显著优势，整体技术水平较为领先，代表了安全运营的先进方向。相比之下，国内智能化安全运营正处于快速发展和追赶的关键时期，在政策驱动、市场需求和技术创新的共同推动下，正积极探索符合国情的ISOC建设路径。本章将分别剖析国外和国内ISOC的发展现状，为国内ISOC的建设提供借鉴。ISOC国外ICAI技术得到广泛而深入地应用，并与XDR、IM等平台深度融合，显著提高了安全运营的智能化与自动化水平。同时，威胁情报应用成熟，云原生安全防护备受重视，整体技术水平保持领先。市场规模持续扩大

国外应用现状国外IC（AIMNPAR等和网络威胁加剧的双重驱动下呈现显著增长。金融、电信、制造、医疗等行业对通过ISOC提升运营效率、降低成本、增强威胁应对能力的需求尤为迫切。数字化转型加速、网络安全威胁持续增长、IT安全人才短缺及人力成本上升以及对运营效率和可靠性的追求，是驱动市场规模扩大的主要因素。ICIC市场规模扩大的驱动因素主要包括：IC成为必然选择。网络安全威胁持续增长：网络安全威胁的复杂性、隐蔽性和破坏性不断增强，传统的安全运营模式面临激烈的挑战，IC能够提供更智能、更主动的防御能力。ITITICAI和机器学习技术的广泛应用AI/ML技术已成为国外ICAIAet提供智能决策支持。恶意软件检测：利用机器学习和深度学习模型，分析文件、进程、网络连接等特征，检测已知和未知的恶0-dayAPTNPICPAR平台和AIIP地址、禁用用户账号等。AI辅助决策：AI智能体为安全分析师提供决策支持，如风险评估、响应建议、调查线索等。44）威胁情报成为IOCIloloNksCxRICtelnThreatGraph厂商案例SIEM与XDR融合AI提升效能为克服传统IM依赖规则、误报高、分析负担重等局限，国外IM和XDR平台正积极融合AI技术。AI赋能行为分析和异常检测，提升高级威胁（如A、0day）的检测能力；AI驱动自动化响应流程；AI辅助进行事件优先级排序，降低告警疲劳；AI增强威胁情报的利用，实现更快速的威胁发现和更丰富的事件上下文。AI技术的融合为IM和XDR带来的增强：AIIM依赖规则的不足。提高对高级威胁的检测能力。自动化响应：AI能够自动化执行事件响应流程，例如隔离受感染主机和封堵恶意IP地址，计算响应时间。AIAI密集成微软云生态。密集成微软云生态。csfttnlIERIL海量日志数据，并提供强大的可视化和报告功能，拥有极高的平台定制化能力，客户可以将各种需要监lk，实现非常详细的数据监测。lkEisecrty全事件的优先程度，供安全运营人员判断。供实时的安全分析和威胁检测。能够转换收集、关联和分析来自各种安全设备日志和来源的数据，帮助IIBMcrtyaaraarI厂商案例威胁情报是国外现代安全运营的核心。成功的IC必须能够有效地集成和利用多源威胁情报（开源、商（如NPAIAtloloNksCxR的核心。ClnTtahT厂商案例AI保护云原生环境的安全实现国外随着云计算的普及，AI在云安全领域的应用日益重要，AI在云安全领域的应用也日益增长。利用AI云原生保障是一个快速发展的领域，融合人工智能的强大功能与云原生架构的敏捷性和可扩展性。目前的应用包括云上的自动化威胁检测与响应、容器安全、无服务器安全和安全运营管理：实现智能化威胁检测与自动响应：AIAPI调用。AIAIIP容器安全：容器运行安全：AI可以监控容器运行时行为，检测异常活动，例如文件系统更改、进程执行或网络连接。这有助于阻止恶意软件在容器内部执行。容器镜像分析：AI策略执行：AI辅助自动化策略，实施在开发和运行期间，保障容器的安全配置。无服务器安全：函数行为分析：AIAI安全态势管理：AIAI云安全态势管理（PM）：AI可以辅助PM工具，自动监控云配置，检测潜在的风险，并提供修复建议。安全。安全。loloNksPsmaCldIM、CPPCenIacrtyIs。厂商案例未来将进入更加智能化、融合化和云原生化的发展阶段未来，随着AI技术的不断进步赋予IC更强的智能决策和预测能力，实现“修复”的自主化运营系统。ICIC智能化程度提升针对ICAI针对应用场景与领域不断拓展。IC的应用将不再局限于传统的IT和网络安全领域，而是将渗透到更广泛的行业和领域中。智能制造、ICIC能够实现生产线的自动IC云边界与边缘计算发展云原生ICIC的规ICIC能够将智能化功能部署到距离数据源更近的位置，实现更快速地响应和物流的延迟，满足实时性要求的突发应用场景。安全性与可靠性得到增强ICAI和ML技术将被评估IC的安全防护中，实现威胁的提前预判、检测和自动响应。例如，AI能够分析网络流量和用户行为，识别异常活动和潜在ICISOC（ICIOCICIC将AI技术深度渗透到安全AI在不同场景的应用创新，以AI深度融合、混合模型及云地协同等为标志向标准化演进。国内SC国内市场潜力巨大，用户期望高涨IC市场正表现出巨大的发展和强劲的增长势头。根据安全牛2025年的用户调查数据，国内大多数组织（90%）对IC的未来发展持乐观态度，其中33%的组织表示非常乐观，认为前景广阔，57%的组织表示比10%的组织正在开展IC的实施，有29%的组织正在测试运行阶段。值得关注的是，在尚未实施的组织中，49%的组织计划在一年内进行相关采购。对智能化网络安全运营未来的态度当前智能化安全运营中心实施情况 一年内计划采购情况理造成事件响应效率低下等问题凸显理造成事件响应效率低下等问题凸显警疲劳”、安全工智能、大数据分析、自动化编排等先进技术，能够有效解决这些痛点，。IC通过引入人效率、准确性和自动化水平。未来，SOC模式下，海量报告数据带来的“告源于国内组织分析能力不足导致的威胁漏报、人工处这种强劲的市场需求和乐观预期，安全牛分析在安全运营方面普遍面临的痛点。传统精细化、其接受度和普及率将显著SOC在各行业应用效果颠覆的发展前景。随着大模型等AI技术的持续进步、I大幅提升安全运营的的逐步显现，以及应用场景的不断提升，在国内市场拥有了市场集中在关键行业领域，逐步向外渗透根据安全牛2025年的调研数据，目前国内部署智能化网络安全运营的行业主要集中在金融行业（24%）、政府机构（22%）、运营商行业（19%）、能源行业（13%）等关键领域。国内已部署组织的行业情况受严格的行业监管和合规要求；拥受严格的行业监管和合规要求；拥海量的安全数据；系和运营团队。但是，仍然普遍遇下特点：IT基础相对完善，积累了要由这些关键行面临复杂且高级的网络安全威胁；接国内安全运营的转型升级浪潮主安全牛分析业引领。这些行业的组织通常具备以到传统安全运营的困境：难以从海有相对完善的安全体胁情报、解决问题过大、安全事件A量数据中高效提取威威胁的检测和理解能力不足。、0-day动化庞大能体IC技术来突破运营困境，并已成为IC平台测试与部署的先行者，尤其是在那些安全要求极高、数据规模且拥有专业运营团队的大型机构中表现得极其突出。他们希望通过统一的IC平台或AI部署At（智动化庞大能体）来整合分散的安全资源，实现集中管控和高效协同，提升安全运营的整体水平，并利用大模型等先进技决实际业务问题，提升网络安全防护能力。未来，随着IC技术的持续成熟、典型案例的落地成功，云化/aS化等多元化部署模式降低应用成本，化安全运营的需求必将逐步渗透到更广泛的行业领域（）IOC将迎来更加繁荣的发展空间。厂商纷纷布局，市场竞争激烈激烈（IC激烈。传统安全厂商、云服务厂商、运营商、创新公司等不同类型的参与者都在基于自身优势的基础上，通过技术创新、产品迭代和服务升级，着力构建差异化的竞争优势，以期在增长的IC市场中快速占据先机。综合安全厂商：例如奇安信、亚信安全、绿盟科技、安恒信息、观安信息、新华三等，凭借其在网络安全领域多年的技术积累、广泛的产品线优势，积极探索AI技术与安全运营的深度融合，他们将AI能力注入现有的安全产品和服务（如C、IM、AR、DR、威胁情报平台等），提升其整体智能化水平，推出现代化的IC解决方案或平台，为客户提供更全面、更智能的安全运营服务。SOAR通过将AI技术融入ARARIM或C一体化的解决方案。运营商：以联通数科为代表的运营商，凭借其在云网基础设施、海量数据资源、广泛客户覆盖等方面的独ICAIIT云厂商：例如浪潮云等云服务厂商，依托其强大的云计算基础设施优势和广泛的企业客户基础，强调构建成熟、便捷、易用的云安全运营服务体系。与安全厂商合作，并将安全能力与自身的云服务深度，提供面向多云、混合云环境的云安全运营服务。AI目前，IC市场的竞争焦点主要集中在AI技术与具体安全运营场景的融合、覆盖范围与落地能力、AI模型的准确性/可解释性/可靠性、自动化响应的自动化与灵活性、安全大数据的处理能力等方面。未来，随着智能化安全运营逐渐成为主流，技术引领提升，应用领域不断扩展，单一厂商将越来越难以提供覆盖所有的完整解决方案。同时，人工智能模型的训练和优化高度依赖于海量、高质量的安全数据和威胁情报。安全牛预计，厂商之间的生态合作将成为未来发展的重要趋势。技术合作、产品集成、数据共享、威胁情报共享、联合解决方案等模式将更加普遍。通过生态合作，厂商可以实现优势互补、资源共享、和谐创新，共同推动安全运营技术的发展和应用，为客户提供更强大的保障安全。国内技术和应用现状国内智能化安全运营领域正呈现出蓬勃发展的态势，安全厂商和部分领先企业积极探索和应用人工智能技术，推动安全运营从传统模式向自动化、智能化转型，技术与应用创新呈现出百花齐放的局面。国内SC安全运营平台趋向统一集成、数智驱动的转型升级SOCXDRAI赋能的方向发展。SOC正向数智一体化升级AIAR数智化安全运营平台的核心理念国内各大安全厂商都积极投身于数智化安全运营平台的建设浪潮中，并结合自身优势推出了各特色的产品决方案。碳泽注重安全运营流程的自动化，通过自主研发的SOAR平台实现攻防两端的场景剧本自动化，并集成碳泽注重安全运营流程的自动化，通过自主研发的SOAR平台实现攻防两端的场景剧本自动化，并集成I通过响应流程剧本化满足智能处置各类安全事件的需求，利用自主研发的SOAR安全自动化编排平台实TIICNC采集、分析和指令下发，并积极探索大模型技术在安全运营各个环节的应用。亚信安全致力于打造“一个平台，全网管理”的运营管理理念，强调通过统一平台实现全网安全数据的厂商案例平台整合安全要素，实现海量安全数据的智能分析和安全运营的闭环管理。平台整合安全要素，实现海量安全数据的智能分析和安全运营的闭环管理。UlaRIAI应用创新呈现百花齐放的态势国内安全厂商积极拥抱AIAII各厂商结合自身优势，在安全运营的各细分领域进行AI应用的创新。IAIDRNDR/N、EA等产品，构建AI驱动的威胁检测引擎，有效提升对未知威胁、高级威胁和异常行为的检测能力。厂商案例厂商案例RI20神州泰岳利用神经网络进行钓鱼检测和挖矿检测。IAINP厂商案例厂商案例TI自动化响应是AI应用的另一大热点，AR平台与AI技术的结合日益紧密，AI智能体开始发挥重要作用，安全事件的快速响应和处置，缩短响应时间，减少人工干预。厂商案例厂商案例I100亚信安全的新一代XDR平台支持一键封禁、隔离主机等自动化响应操作。T各厂商还结合自身优势，在数据安全、代码安全、vcps、业务安全等细分领域进行I智能化应用效果已经初见成效国内ISOC的建设和应用已取得初步成效，在多个方面展现出显著优势，特别是在告警降噪、安全事件分析、自动化响应、数据安全和运营管理等方面带来了一定的应用效果。SC2025（XDR台智能过滤98%无效告警，奇安信AIC提高告警准确率80%）、安全事件分析效率显著提高（如碳泽千乘平台实时推演攻击链，亚信安全XDR80%）、事件响应实效大幅加强（XDR台人工调查时间减少（如碳泽千乘平台实现交易数据自动标注，数据拓扑效率提升40倍）、安全事件处理效率大幅提高（如奇安信AIC单个事件响应效率提升约80tMC效率提升96%（如奇安信AIOC单日工作成果提升数倍，碳泽千乘平台合规覆盖度大幅增加）。ISC应用效果告警降噪（平均降噪率>80%）告警准确率（提高>80%）事件分析效率（部分场景提升>80%）响应时效（缩短至分钟级甚至秒级）数据分类分级（识别准确率>90%）运营管理成本（部分场景节约>50%）全。全大模型与基础AI技术协同并进，共筑安全运营智能化基石国内安全厂商正积极探索AI大模型与基础AI基础AI技术”合架构模式，以充分发挥各自优势，实现更高效、更智能的安全运营。I事件大语言模型（LLM）凭借其强大的自然语言处理、知识整合、逻辑推理和内容生成能力，在威胁情报分析、安全理解与调查、安全策略生成与优化建议、智能安全问答系统、自动化报告生成等方面应用相对集中。事件，受限于安全领域的特殊性，通用大模型在安全专业知识、数据安全、可解释性等方面仍存在不足，因此，将其与安全垂域大模型或针对特定任务的基础AI技术相结合，正成为市场探索的主流模式。厂商案例厂商案例绿盟科技利用风云卫大模型实现智能化预警、日志网络攻击分析等功能。绿盟科技利用风云卫大模型实现智能化预警、日志网络攻击分析等功能。LLM机器学习和深度学习的“基础AI技术”在安全运营中的应用已较为广泛和成熟，通常针对特定任务进行，UEBA、处理与分析等场景。“大模型+基础AI技术”的混合架构，可以实现优势互补：大模型负责全局分析、复杂推理、知识问答、编排等，提供宏观决策支持；基础AI技术负责具体的威胁检测、异常识别、风险评估等任务，提供快速、的检测结果。技术”混合架构模式技术”混合架构模式其他厂商，如观安信息、联通数科、聚铭网络、睿安致远等厂商都在采用或探索这种“大模型+I化模型、安全事件模型、成熟度评估模型、健康度评分模型等构成一个整体的运营调度平台架构，并在IIC厂商案例AI智能体是安全运营的未来方向，当前仍处于探索期表了AI智能体作为能够自主感知环境、进行思考和推理、做出决策并采取行动以实现特定目标的智能应用，代安全运营自动化发展的未来重要方向。AIAet具备自主性、反应性、主动性、学习能力和推理能力等关征，可以模拟人类安全专家的模式，在安全运营中发挥行为更主动、更智能的作用。表了I目前，AI智能体的应用主要集中在自动化安全响应、辅助安全调查和安全运营流程优化等方面。然而，更高级的、具备自主决策和主动威胁防御能力的AIAet应用仍在探索中，技术成熟度、数据质量、可解释性、安全性、成本等方面的挑战仍有待解决。AIAIAet将在安全运营中发挥越来越重要的作用，推动运营向更高层次的自动化、智能化、自主化发展。I安全流程编排以及提升决策支持。安恒信息针对主机类告警研发了丰富的研判智能体，以及数据安全类智能体。I奇安信推出了告警关联智能体、溯源调查智能体等，用于告警的关联分析和事件的溯源调查；厂商案例DeepSeek识在训模通用大语言模型（DeepSeek）拥有强大的自然语言理解和生成能力、广泛的通用知以及零样本/LLMLLM（经过安全数据练）或基础AI技术结合的“双模型”或多模型架构，成为主流模式。这种模式下，通用LM和安全垂域大型可以协同工作，优势互补。识在训模这种混合架构潜力巨大，有望在未来推动安全运营向更高层次发展。DeepSeek安全垂域大模型“双模型”或多模型架构强大的自然语言理解和生成能力：更强的安全专业知识：通过大量安通用大模型：负责处理自然语言交可以用于安全知识问答、安全生成（互、提供通用知识、生成报告等。报告、威胁情报分析等。广泛的通用知识：可以提供更丰富零样本/威胁情报等）的训练，更熟练地处理安全相关的任务。更高的精度和可靠性：在安全领域上，经过改装的安全领域大模型通安全领域大模型：负责进行威胁检测、事件分析、风险评估、响应决策等。协同的工作：通用大模型可以将安少量样本或样本快速适应新的安全常比通用大模型具有更高的精度和全分析师的自然语言查询转化为格任务。可靠性。更符合安全合规性要求：安全领域式化查询语句，安全领域大模型根大模型通常在企业内部部署，可以型以自然语言的形式呈现给安全分更好地保护