众智维科技长期聚焦网络安全运营服务，汇聚一批行业内顶尖的安全技术人员，基于AISecOps的技术创新能力，不仅具备完善的安全运营产品体系。此解决方案以自动化编排为核心，通过对数据库、网络安全生产设备等的实时告警与运行状态在线监测，实现安全运营剧本自动化编排，且自动化调用网络安全API应用程序接口。运用人机结合的方法进行安全事件分析与分类，充分使用自动化技术手段，并应用到安全生产的防护、检测与响应的每个环节。协助企业实现自动化安全监测业务联合管控、强化专业运营队伍建切实提高群体性的安全风险防范意识和应急处置能力。促进企业在网络设备安全数据采集、安全事件范式化处置、数据关联分析及自动化预警业务体系中进行良好的改善，及时发现并提前预防各类网络安全事件，实现全天候网络安全监测体系，降低了企业人工成本，提高了应急处置效率。

技术框架：次解决方案通过在网络内部署众智维科技核心产品红鲸RedOps安全协同响应平台（以下简称红鲸RedOps）的方式实现态势处置能力。红鲸RedOps通过SOAR技术，以自动化编排为核心，充分使用自动化技术手段，将人、技术和流程高度协同起来，在帮助企业将繁杂的安全运行（尤其是安全响应）过程梳理为任务和剧本，提供定制化的流程和控制，整合并加速有效网络威助的调查与缓解，可快速编排响应策略，在收集不同来源的安全威胁数据和警报时，运用人机结合的方法进行事件分析与分类，根据标准流程辅助定义、排序和驱动标准化事件响应行为，并应用到防护、检测与响应的每个环节，实现简化的统一协同响应，节省手动分析时间，最终实现自动化安全运营。

应用效果：企业通过部署的网络安全监控运营平台，提升了企业的安全生产业务流程综合防护体系，对系统的正常稳定运行起到了保障作用。整体响应效率提高80%，平均效率提升8倍，显著增加了企业电力监控系统网络安全可靠性，监控系统综合防护措施得到了有效改善，确保了业务生产监控系统安全稳定运行。平台可以很好地支撑国产操作系统和国产大型计算机监控系统，网络安全监测预警的部署也达到了预期效果，网络安全隐患下降50%以上。

总体来说，强化网络的安全建设，与企业的形象及利益紧密相关。自动化安全运营系统的运用，能够对电力领域企业的业务与网络进行调整并优化，提升软硬件的各项综合性能,减小成本的投入，对未来提高公司整体社会效益与经济效益具有十分重要的意义。

1、网络安全协同响应

企业的业务、信息化、安全运营属于相互独立的部门，有相应的职责划分及领导者，实现跨部门的协同工作不仅仅是简单的技术问题，还是流程管理上的改变。比如面对典型的恶意问题（如病毒邮件、电信诈骗邮件、APT定向高级持续攻击），金融、政府行业等每月安全事件量超过十多个，安全团队成员涉及十人以上，平均处理时间超过24小时，运营人员频繁重复操作，完全依赖手工进行安全分析和响应。该解决方案可利用自动化的剧本，实现攻击IP、邮件内容、情报获取等关联分析的一整套综合研判自动化动作，完全免人工参与，并自动创建作战室进行协同作战。利用不同算法将不同场景的数据聚合起来，在业务流转中利用智能分析技术保护安全，快速提升业务系统网络攻击联合应急处置协同能力和安全防护能力。

2、告警溯源分析闭环

当企业面对Web攻击事件（如Web漏洞扫描、Web畸形报文攻击）进行自动化安全分析和响应，系统在日常接收到如SOC等产品的安全事件中，触发该剧本后自动化分析疑似Web攻击源IP，覆盖：IP库比对白名单、恶意报文样本分析、防火墙IP封禁、联动即时通信、生成作战响应任务等系列安全运营动作。
该解决方案基于数据关联分析技术建立分类体系，对风险信息和预警事件的对象、序列和资产属性等多重信息进行综合关联与加权，提供丰富置信度指标，接入数据分析功能，对检查过程质量、检查人员的违规行为、业务系统风险进行实时监管和事后审计，解决安全检查过程不透明、检查风险不可控等问题，为安全分析运营与安全风险管理提供更科学的定级评估依据和闭环路径。内置开箱即用的异常检测规则，在用户实际环境中自适应训练和学习，满足高准确率、低噪声的异常发现和应急管理诉求。

3、安全编排与自动化

在现代企业安全管理过程中，不同的企业更具自己的业务特征、网络规模及建设周期，面临着极为复杂的安全运营工作。安全运营人员在日常工作中，需要面对大量的安全的安全设备、网络系统、安全工具以及企业团队人员，如何高效的将各种人、事、务进行有机的串联，形成自动化、线上化的SOP流程，是高效安全运营的当务之急，也是安全行业的重点发展目标之一。

该解决方案智能化的编排能力，可针对性解决不同安全场景中SOP流程的自动化过程，平台自动驱动各种安全设备进行调查、分析、取证、封禁等操作，解放人力，降低安全人为介入流程，将自动化验证的手段固化到数据库中,实现验证经验的积累。平台一方面通过安全设备接口化和安全接口应用化实现安全应用编排化，另一方面则将不同的设备和系统协同联动起来的目标，实现自动化运营值守，在成熟的运营使用状态下，可至少降低75%的人工成本

4、威胁情报集成分析

当企业面对海量攻击事件（如DDoS攻击、暴力破解或扫描攻击）进行自动化安全分析和响应，可联动SOC/SIEM/态势感知系统、防火墙、IP威胁情报库、定时器APP设备。该解决方案实现自动化比对IP、排除白名单后实现定时、分时长防火墙封禁IP。形成“威胁预防—威胁检测—威胁防御—威胁响应”的安全运营闭环。在深度整合威胁情报的基础之上，将威胁情报渗透与企业运营的各个环节之中，真正发挥威胁情报的效用，并通过网络安全、主机安全、应用安全及数据安全等安全能力的加持，协助企业构建更加高效、全面的业务安全监测体系、业务安全防御体系，实现对企业内部全网、全域、全业务的安全监测覆盖。