一、解决方案简介

国舜自动化威胁研判平台是国舜自研的自动化研判与处置平台，通过搜集所有网内资产的安全信息，对收集到的各种安全事件进行深层的过滤、分析、统计、关联和存储。提供资产自动化盘点、网络攻击面测绘、流量威胁感知、漏洞闭环管理、攻击链还原、威胁情报管理、日志审计与检索调查、安全编排与自动化响应及安全可视化等能力，及时发现反映被管理资产的安全情况，定位安全风险，并提供处理方法和建议。帮助用户实现事前安全预防，事中事件监测与威胁检测，事后快速响应处置的一站式、可视化、自动化的安全运营管理。

具备网络空间安全持续监控能力，能够及时发现各种攻击威胁与异常；

具备威胁调查分析及可视化能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，从而支撑有效的安全决策和响应；

构建基于SOAR的剧本引擎，支持“取证、过滤、分析研判、追踪溯源、处置响应”五个阶段的编写全自动/半自动化剧本（SOAR）能力，使入侵检测感知时间从小时级压缩至分钟级，入侵检测处置效率提升数倍；

建立安全预警机制，完善风险控制、应急响应和整体安全防护的水平；

帮助不同类型用户需求，提升用户对态势监控、威胁分析、运维处置等安全能力的建设水平；

打造基于数据深度钻取、可视化展现、态势处置与预警、智能运营等动态赋能，是用户全流程、全周期态势感知的最佳选择和最佳实践。

二、应用场景痛点简介

国舜自动化威胁研判平台满足多种场景客户需要（安全告警、重保统筹、协同处置、漏洞管理、策略更新、权限管理、日常运维等），安全事件会在任意时间、地点（设备节点）、应用上发生，非工作时间发生时。我们往往无法进行足够快的人工干预，所以更需要安全体系能够自动临时阻断安全威胁、重大保障时间自动阻断安全威胁、全网范围任意位置阻断安全威胁、对任意应用和协议阻断安全威胁。

三、解决方案亮点介绍

1.面向业务安全管理

系统内置业务建模工具，反映业务支撑系统的资产构成，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度分析业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。

2.集成多种安全产品统一进行安全理解，增强检测和响应能力

通过在组件安全产品之间共享本地威胁情报来提高保护能力，从而在所有组件之间提供有效的威胁屏蔽；此外，通过自动关联和确定报警来减少漏报；集成相关数据，进行更快、更准确的报警分类。

3.智能的安全能力网关

系统提供的安全能力网关支持通过系统配置的方式，快速提供安全产品、平台的接入（例如：沙箱、CMDB系统等），将其外部的安全能力和系统能力通过配置的方式快速集成到SOAR引擎，丰富SOAR剧本安全能力，实现安全能力投资的对外赋能和复用，提升企业整体的安全基线。

4.从实战出发的调查取证和自动化处置

平台支持利用SOAR引擎提供的剧本能力实现自动化取证能力，并提供取证工具可线上或线下辅助安全运营人员完成取证工作，并通过系统系统的分析研判工作台完成证据链梳理，线索拓线、溯源分析，提升安全运营人员分析研判效率，并借助SOAR剧本引擎实现自动处置实现快速止损。将应急响应中告警分析研判周期由天级压缩至分钟级，将告警的响应处置周期由小时级压缩至秒级。全面提升安全运营的分析研判和处置响应效率。

5.降低安全运营的复杂度，提高安全运营人员的效率

客户能够统一收集来自网络中IT资产的运行信息和日志信息，通过分析这些数据，识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵，以及违规与信息泄露等行为，协助客户安全运维人员进行安全监视、审计追踪、调查取证、自动化应急响应和处置、生成各类报表报告，提高客户日常安全运营效率。

6.丰富多维的安全态势

通过对数据的综合利用，包含安全事件、漏洞脆弱性、告警、资产信息、外部威胁情报等各类安全数据，使用户把控宏观安全及风险态势，了解当前遭受的攻击态势，综合掌握网络中资产及业务的安全隐患，识别被防护对象受到的威胁态势，掌握攻击规律趋势，定位攻击源头并预警潜在威胁。其目标是通过安全信息的集中整合分析，使用户从资产态势、漏洞态势、风险态势、攻击态势等多维度掌握风险威胁态势，把握威胁的发生、发展、危害范围，提升整体资产及业务的防护能力。

平台集成多种安全产品统一进行安全理解，增强检测和响应能力；智能的安全能力网关；从实战出发的调查取证和自动化处置；降低安全运营的复杂度，提高安全运营人员的效率；丰富多维的安全态势等，实现——

①安全监控人员、事件分析人员需求：从【10人】降低到【2人】；

②安全运营能力需求：从【专家】降低到【初级】；

③网络入侵攻击：从【不清楚】升级到【零失分】。

四、金融行业客户名单

中国民生银行、江苏省农信社、贵州省农信社、华夏银行、南京银行、贵阳银行、成都银行、广州银行、福建海峡银行、苏州农商银行、广东南粤银行等。

五、客户评价

已将70%以上的安全事件处置工作迁移到该平台，主要包括告警智能去重、安全事件的研判与处置。目前平台已集成了防火墙、WAF、抗DDOS、APT、IPS,态势感知系统、CMDB、工单系统、Nessus等。形成了整体实战防御能力，解决了安全设备和系统相互孤立的现状，通过SOAR剧本实现业务场景、安全能力的适配。将安全专家解决问题的方法固化到剧本中，将安全事件运营流程化、标准化。对阶段内的安全运营状态，提供可视化报告，并对剧本的使用进行总结。通过剧本编排，实现了日常安全运营事务自动化，减少对人工操作的依赖，大幅节省了人力成本，提高了工作效率。