众智维REDOPS红鲸网络安全协同作战系统通过SOAR技术，以自动化编排为核心，充分使用自动化技术手段，将人、技术和流程高度协同起来，在帮助企业和组织将繁杂的安全运行（尤其是安全响应）过程梳理为任务和剧本，提供定制化的流程和控制，弥合并加速有效网络威胁的调查与缓解，可快速编排响应策略，在企业收集不同来源的安全威胁数据和警报时，运用人机结合的方法进行事件分析与分类，根据标准流程辅助定义、排序和驱动标准化事件响应行为，并应用到防护、检测与响应的每个环节，实现简化跨部门、跨地域的统一协同响应，节省手动分析时间，自动化运维。解决安全运行响应人员匮乏、安全告警多、安全事件响应不及时、重复性运维、安全设备之间缺乏协同且联动性差等导致安全运行人员工作压力大、运行效率低下、运行效果难以度量的问题。

技术优势：

1、整合资源、协同连接。系统能够将分散的工具、人员和流程有机地整合到一起，整合安全运营所需的各种资源，实现人与工具、工具与工具的连接与协作。借助剧本、应用、动作等编排元素，系统能够将终端、主机、网络设备、安全设备、安全系统、协作软件，以及云端应用等各类资源整合到一起，能够协助运营人员实现基于编排的自动化和半自动化的告警分诊与调查、事件追踪与调查、安全事件响应与威胁阻断，以及其它日常安全运营工作。

当前的SIEM、SOC安管平台、态势感知等系统基本采用以数据为中心的集成架构，将各种安全能力的数据汇集融合到一起，实现了安全分析水平和感知水平的飞跃，极大改善了安全数据碎片化的问题。但这种以数据为中心的集成架构却依然无法消弭安全运营工作中面临的人、工具和流程之间的碎片化问题。系统采用以流程为中心的架构，强调人如何借助编排和自动化将各种安全资源高效利用起来，帮助企业和组织解决安全运营的最后一公里落地问题，体现了实战化安全运营的理念。将这两种架构相结合已经成为了未来SOC发展的关键趋势。

2、自动运营、减负增效。借助系统的编排与自动化功能，可以将安全操作流程或其片段转变成编排化的安全剧本，并尽可能自动化的执行，从而大幅降低安全运营人员，尤其是一线安全运营人员的工作负担，减轻他们的工作压力，提升工作效率，在现有人员条件下执行更多的任务。

3、增强告警、快速分诊。处理告警信息是安全运营的一项重要工作。借助系统的告警管理功能，安全运营人员能够更便捷地对告警信息进行增强，自动化的执行告警调查操作，协助他们更快速地进行告警分诊，从而提升单位时间内处理告警的数量和质量。借助系统的事件管理功能，安全运营人员还能对持续对一系列相关告警进行深入调查与追踪。

系统能够在不改变告警分诊过程的情况下，将部分处理流程编排化、自动化，缩短整个过程的耗时，让人更多地进行决策，而不是上下文信息的获取和工具的来回切换。

4、快速响应、及时补救。对于安全运营人员而言，如果定位到了问题原因，确定了行动方案，那么就希望尽快实施到位，避免造成损失或者损失扩大。系统通过编排与自动化功能，能够切实帮助安全运营人员快速进行响应处置，降低平均响应时长。

安全运营人员可以将处置不同威胁的行动方案写成应对措施和剧本，纳入事件与剧本库统一管理。威胁触发后，在有人参与或者无人参与的情况下，尽可能自动地执行相关应对措施和剧本，譬如执行防火墙阻断操作、执行账号禁用操作、终止某个进程，等等，大大缩短手动执行预案所耗费的时间。事后还能对处置过程进行复盘，对应对措施和剧本进行改进，积累相关经验。

5、动态对抗、持续优化。安全运营的很大一部分工作都是在进行安全对抗，而对抗的过程是在不断动态变化的。系统具备很强的可塑性和可扩展性，安全运营人员能够根据实战情况动态调整和组合流程和剧本。系统能够自动记录所有对抗过程的操作记录，便于事后总结归纳，持续优化。

6、提升人效、高效度量。借助本系统，可以帮助安全运营从繁重的低端重复性劳动中解脱出来，通过编排与自动化技术手段提升人的运营水平和绩效，将人的工作中心转移到高端创造性工作中去，提升人的技能水平。借助本系统，还能将有经验的安全运营人员的知识进行固化、沉淀、分享，并不断优化。同时，借助本系统，可以实现安全运营效果的自动化、数字化度量，让安全管理者更客观、快速地掌握安全运营团队的绩效，以及安全运营的实际效果。

中国银联RedOps案例:

本系统周期1年，系统将现有安全能力进行深度整合，建立统一网络安全协作平台。将安全管理工作责任化、规范化、协同化及流程化，建立实战化的安全运营体系，加强人机协同作战与融合，将网络安全运营人员技能、经验与先进的安全技术相适配，将常见安全事件处置场景抽象为固定处置流程，自动联动安全设备进行安全事件处置与响应，通过持续的安全运营输出安全价值，通过高效的协同响应提升运营效率。

1、RedOps安全事件聚合器对告警进行AI归并收敛；

2、RedOps协同作战室组织安全人员协同处理安全事件；

3、RedOps应用超市有100多个安全应用APP，灵活编排；

4、RedOps内置安全剧本，自动化处置威胁事件；

告警从万量级收敛至百十量级，极大降低工作量；

安全事件处置从小时级别降低到分钟级、秒级，提升效率；

5、自动化安全处置剧本减少安全运营工作量、降低工作难度。