AiLPHA安全编排与协同响应管理平台 -安恒信息

安恒信息——AiLPHA安全编排与协同响应管理平台安全运营的理想与现实安全运营流量检测日志分析威胁情报资产管理防火墙安全运营流量检测日志分析威胁情报资产管理防火墙理想现实重复性工作多；例如HW期间，每天面对海量高强度的扫描攻击束手无策，没有时间精力判断如何处置……日常运营期间，精力都耗费在发起扫描、编写报告的重复工作中……资源呈孤岛状；安全设备各自为战，缺少统一协同工作能力，需要人作为连接器去使用……分析处置流程乱；事件分析处置没有标准流程，全凭当天运营人员的状态，无法稳定运营质量……专家能力不足;安全运营工作依赖专家个人经验，出现复杂的安全问题大部分运营人员无法解决……安全运营的痛点SOAR技术的定位安全运营的中枢，4点特性2个循环运营者SOAR安全运营平台协同/任务/分析/决策数据采集安全日志业务日志分析引擎关联分析离线分析威胁情报内部情报资产管理资产信息外部情报漏洞信息运营优化建立学习辅助决策人机协作循环企业资源/系统/工具业务系统工单系统安全设备工具运营流程循环4点特性具备灵活的集成架构拓展不同应用具备强大的编排引擎适应不同场景具备强大的事件归并能力减少冗余问题具备友好的交互操作提高工作效率重复性工作多资源呈孤岛状分析处置流程乱专家能力不足安恒SOAR智能编排产品能力DASCA安全能力中心安恒信息AiLPHA安全编排与协同响应管理平台模块化应用开发实现灵活的联动拓展架构支持HTTP/S\TCP\SMTP\SOAP等多种联动协议抽象标准接口忽略厂商差异简化剧本编排建立联动频率基线保证设备正常运作动态监控设备健康状态、性能变化级联架构满足跨网联动开放式应用市场提供用户便捷安装渠道DASCA现支持联动150+设备，600+联动指令，已覆盖企业常用设备强大编排引擎安恒信息AiLPHA安全编排与协同响应管理平台触发条件测试环境申请外网映射工单通过监控时效失效结束响应处置–撤回询问延长响应处置–撤回联动防火墙添加映射条目将服务映射至外网监控映射条目有效时间通知申请人条目即将失效是否需要延长时间响应处置–撤回响应处置–撤回联动防火墙联动防火墙不延长取消映射条目修改映射条目时间测试资产映射管理拖拽编排支持从组件库中拖拽组件进行编排，降低剧本编排成本逻辑决策能够对剧本上下文进行复杂的逻辑决策，决定剧本走向剧本复用已有的剧本可以在其他剧本被引用自定义脚本支持自定义Python脚本，灵活实现场景需求人工任务剧本中可引入人工任务，可人机结合完成剧本某集团“传统”安全运营海量告警，无从下手某集团作为大型跨国企业，企业内部有独立的安全部门，配有5名专职的安全运维人员。单日的告警量多达130万，主要告警类型弱口令、内网主机远程软件外联、服务器安全域越权访问的告警量达到50万条。1人统管协调2人：研判分析组1人：资产管理组1人：设备运维组研判分析组针对这些告警全力处置，经过七八个小时的全力工作，终于处置掉了1000条告警分析效率低：每条告警都要逐个分析，当天看了很多重复的告警处置联动难：分析完毕后处置工作需要操作多个设备，非常不方便人工依赖高：2位分析人员不在岗期间，分析研判工作就全部停滞集团“智能”安全运营智能运营，自动化响应SOAR部署后SOAR部署前通过SOAR事件合并策略，事件数从原有130W降维到2W，并通过自动化剧本的分析、处置、总结，最终日常的告警处置率达到95%SOAR上线自动处置率：0

95%一人就能完成全部的研判分析工作集团现场成果每天需要4-7小时处理告警1重保时需要24小时值守2各节点安全防护系统互相孤立3SOAR上线前每日仅需15-30分钟处理告警1告警自动化处置，解放人员运维压力2DASCA能力中台，无缝对接三方安全设备3单日2