哈希游戏- 哈希游戏平台- 哈希游戏官方网站该制造公司为了改变“安全无专人”的现状，从现有的IT部门中，选拔了一位对网络安全有兴趣的人，具备一定基础的员工成为安全负责人，负责安全工作的整体规划、协调和监督的职责，成为安全建设的“领头羊”。安全负责人与IT部门沟通了安全方面的职责。例如，服务器管理员则需要负责服务器的安全配置、漏洞修复和补丁管理；网络管理员则需要关注网络设备的安全配置、流量监控和预警检测。通过这种方式，将安全责任划分到各个岗位，形成“人人有责”的安全队列。同时引入了外部安全服务，主要提供重要安全事件的事件应急响应服务，帮助企业快速处理紧急安全事件。并制定了安全培训计划。培训内容包括安全基础知识、常见安全威胁、以及安全事件响应流程等。

　　安全负责人牵头建立了一套基本的安全运营流程，以规范安全事件的处理，确保安全事件得到及时、有效的响应。首先，需要对安全事件进行分类分级，根据安全事件的类型（如恶意软件感染、网络入侵、数据泄露、拒绝服务攻击、内部威胁等）和影响范围、紧急程度等因素，将安全事件划分为不同的类别和级别（如高、中、低），并建立一个明确的安全事件响应流程，包括事件上报、分析、执行和报告等阶段。一个简单的流程示例如下：安全分析师（或安全负责人）通过SIEM平台或其他途径获得安全告警，安全分析师对另外进行初步分析，确认是否为误报。如果确认为安全事件，安全分析人员根据事件类型和级别，执行相应的响应操作，如隔离受感染的主机、封禁恶意IP地址、通知相关人员等。事件处理完成后，安全分析师记录事件处理过程和结果，并生成报告。

　　在完成平台的基础部署和集成后，公司针对重要应用场景定义和编排安全剧本。基于预先制定的安全事件处置预案，利用可视化流程编辑器，将人工分析和处置步骤配置为标准化的自动化工作流程。例如，针对检测到的恶意IP攻击场景，创建恶意IP的封禁剧本，该剧本能够自动从告警列表中提取恶意IP信息，然后联动防火墙下发封堵策略，并记录整个处置过程。对于挖矿告警剧本，剧本可以自动将相关信息发送至EDR系统进行风险验证，并根据EDR的反馈联动防火墙封禁相关的域名或IP地址。为了应对不同的安全事件类型，持续开发了一系列的自动化剧本，覆盖了如Web攻击、暴力破解、病毒木马、非法外联、漏洞利用等常见威胁。

　　为了保证自动化响应的可靠性，在剧本上线前进行了充分的测试，并进行监控和调优。此外，因为意识到自动化并非适用于所有场景，因此SOAR平台也支持手动触发和人工干预，对于需要人工判定的复杂事件或未知事件，SOAR平台通过下发工单并提供执行概览，协助人工判断与执行。通过SOAR平台的应用，该公司显著提升了安全事件的响应速度和准确性，减轻安全运营人员的工作量，最终实现安全事件响应流程的自动化闭环。随着经验的积累，后期准备基于SOAR平台开发更复杂的自动化评估，例如与威胁情报集成形成自动化威胁狩猎剧本、与漏洞管理系统集成形成自动化漏洞处置剧本.

　　完成集成后，安全团队针对钓鱼邮件攻击场景创建了一个名为“钓鱼邮件自动响应”的流程。该流程以SIEM检测到的钓鱼邮件相关事件作为触发，一旦触发，就会自动执行一系列预定义的操作。首先，SOAR平台会自动从SIEM获取有关事件的详细信息，包括邮件主题、发件人、方案、URL链接、附件信息等。从邮件内容、URL链接、附件中提取出关键词，例如发件人邮箱地址、URL、域名等。接着，SOAR平台会自动查询威胁情报平台，判断这些IOC是否与已知的恶意IOC匹配。如果是恶意的，那么通过IAM（身份和访问管理）系统接口禁止出访的用户账号，防止攻击者利用被盗取的权限进行非法访问。最后，SOAR平台会自动向安全分析师和出访的员工发送通知，告知事件详情并已采取的措施。如果安全分析师判断为中风险事件，则给用户发送安全提醒。最后，SOAR平台会自动记录所有执行的操作和结果，并生成事件响应报告，为安全团队的事后分析和审计提供响应。在实施“钓鱼邮件自动响应”后，该公司的钓鱼邮件攻击事件响应效率得到了显著提升，从收到通知到执行完成隔离、阻止等关键任务。

　　某能源企业作为关键基础设施行业的代表，面临着日益复杂和严峻的网络安全威胁。 为了有效应对这些威胁，提升整体的安全防护能力，该企业决定在安全运营中引入威胁情报，并采取分阶段、分步骤的方式进行部署和应用。 目标是通过威胁情报的引入和应用，提升威胁检测的准确性和效率，减少误报和漏报，增强安全运营的主动防御能力，并优化安全策略和监控措施。 同时，该企业希望借助威胁情报实现更高效的威胁狩猎，主动发现潜藏在企业网络中的威胁，从而更好地保护企业资产和业务安全。

　　情报源接入：该能源企业首先梳理了自身需要的威胁情报类型，包括恶意IP地址、恶意域名、恶意文件哈希、漏洞信息、攻击组织信息（APT）、行业威胁情报等。然后，他们逐步接入了多个威胁情报源，如购买了某商业威胁情报、订阅了某开源威胁情报、并加入了能源行业的信息安全共享联盟，获取行业内的威胁情报，并且将安全团队在日常安全运营和事件响应流程中发现的威胁情报，也记录到威胁情报平台中，平台会自动对来自不同情报源的数据进行清洗、去重、标准化处理，将不同格式的情报数据转换为统一的格式，并提取出关键的IOC。

　　情报应用：该能源企业将威胁情报与SIEM平台、SOAR平台以及防火墙、EDR等安全设备进行了集成。首先，威胁情报平台将经过处理和评估的威胁情报（例如恶意IP地址、恶意域名、恶意文件等）提供给SIEM平台。SIEM平台利用这些威胁情报，可以提升威胁检测的准确性和效率。例如，当SIEM平台检测到某个IP地址与企业内部主机通信时，会自动查询威胁情报，判断该IP地址是否为已知的恶意IP地址。其次，威胁情报平台为SOAR平台的自动化响应脚本提供威胁情报支持。例如，在处理钓鱼邮件攻击事件时，SOAR平台可以自动查询威胁情报，判断邮件中的URL或附件是否为恶意。

　　实际效果：在威胁情报平台投入使用后，通过与SIEM集成，威胁情报平台提供的威胁情报帮助SIEM平台更准确地识别出不良流量和不良行为，减少了误报和漏报。通过与SOAR集成，威胁情报平台为自动化响应提供了关键的威胁情报，使SOAR平台能够更快、更准确地执行响应操作。通过对威胁情报的分析，该能源企业的安全团队能够更早地了解威胁现状，并采取主动的防御措施，例如调整安全策略、加强安全监控等。基于威胁情报中丰富的威胁情报信息，安全分析师可以更有效地进行威胁狩猎，主动发现潜藏在企业网络中的威胁。

　　某银行作为一家大型金融机构，随着数字化转型的加速，其业务系统和数据资产面临着日益复杂的网络安全威胁。传统的安全运营中心（SOC）在应对海量告警、人工分析压力以及新型威胁方面逐渐显得力不从心。为了提升威胁检测和响应的效率与智能化水平，该银行决定对其现有的安全运营中心进行升级，构建一个强大的AI分析平台，以更好地应对当前的安全挑战。AI分析平台建设目标是实现智能化的告警处理、威胁情报分析和安全事件响应，从而提升整体的安全运营效率和智能化水平。

　　在规划和设计时，银行考虑到数据安全和合规性要求，以及对性能的较高需求，选择了部署本地化的大模型，并关注到AI智能体结合大模型和各种安全工具，实现更智能化的自动化任务执行，因此计划构建一个混合的AI平台，包含通用的大语言模型，也包含针对安全领域垂直优化的子模型或基础AI技术架构。功能包括利用知识图谱技术关联不同来源的安全数据，展示完整的攻击链路；通过自然语言交互实现智能化搜索、威胁推演，以及AI报告生成、安全策略建议等方面。