一、项目背景及目标

在当今数字化浪潮的席卷下，奇瑞徽银汽车金融股份有限公司（以下简称“奇瑞汽金”）积极投身数字化转型的进程，不断拓展业务边界，创新金融服务模式。大数据、云计算等前沿技术在公司业务中的深度应用，促使业务流程持续优化，服务效率显著提升，为用户带来了更加便捷、高效的金融服务体验。

然而，技术的进步在带来机遇的同时，也使得奇瑞汽金面临着日益严峻的网络安全挑战。随着数字化转型的深入，公司信息系统中的金融数据、客户个人信息等关键数据的规模呈爆发式增长，这些数据不仅是公司业务运营的核心资产，更是黑客等恶意攻击者觊觎的目标。据相关数据显示，近年来，全球金融行业因网络攻击导致的经济损失逐年攀升。在这样的大环境下，奇瑞汽金面临的网络安全风险也在不断加剧。

在内部网络安全保障领域，奇瑞汽金始终秉持高度重视的态度，持续加大资源投入，凭借多年实践与优化，已构建起一套体系完备、运行稳定的成熟安全运营机制。该机制通过标准化流程实现安全事件全生命周期闭环管理，在过往业务安全保障工作中成效显著，有力支撑了公司核心业务的平稳运行。然而，面对网络攻击手段日益复杂、高级威胁层出不穷的严峻形势，这套以传统NDR类设备为核心的检测防御体系逐渐显露出局限性。传统安全设备引擎在新型高级威胁识别、安全事件快速响应及复杂攻击溯源分析方面存在漏报、误报、溯源困难等诸多短板，难以满足当前网络安全防护的更高要求，亟需技术升级与能力革新。

面对上述问题，奇瑞汽金经深入调研、技术预研和方案论证，决定启动基于 XDR 的下一代网络安全防护平台建设项目。旨在通过深度集成与强化公司“云、网、端”安全能力组件，以“AI驱动为核心”，融合威胁情报、自动化响应与编排及管理流程自动化相关能力，构建贯穿网络安全事件预测、监测、分析、响应、溯源全流程可闭环的新一代一体化、智能化、自动化的扩展检测响应平台，全面增强应对各类高级网络安全威胁的检测与响应能力，实现全网安全的可视化，提升网络安全工作人员工作效率，以技术创新筑牢数字安全屏障，为企业高质量发展注入持久的安全动能。

二、创新点

创新点1：以“全域联动”架构重塑网络安全感知体系

公司突破传统安全设备孤立运作的局限，通过终端安全防护设备与网络流量防御设备的全域覆盖，结合端网协同的智能遥测技术，实现网络空间“云-网-端”全要素数据的实时采集与互通。采集后的遥测数据经泛化、格式化处理及深度聚合分析，不仅能实时监测隐蔽风险与攻击，还可回溯安全事件全貌，构建起具备可观测性与预判性的网络安全全局视野，彻底解决安全设备协同难题，达成网络安全一体化智能管理。

创新点2：以“智能叙事”模式革新安全溯源分析范式

公司借助端、网、云多源遥测数据的深度关联技术，构建高质量场景化攻击故事链，完整呈现安全事件演进过程。同时融合IOA与IOC检测技术，对网络与终端攻击路径各节点行为痕迹进行自动化关联分析，精准识别未知威胁并持续优化检测精度。该模式打破传统规则识别的局限，有效化解未知威胁难发现、海量告警难处置、事件处置碎片化等困境，大幅提升安全研判与溯源效率。

创新点3：以“智能自治”体系驱动安全运营效能革命

运用智能聚合与关联技术，对海量告警数据进行降噪处理，减轻安全运维与分析人员负担。依托云端情报与算力支持，实现安全能力实时更新，并集成智能对抗、SOAR自动化响应等功能，推动安全运营从人力密集型向智能自治型转变，显著提升运维效率与管理体验，引领行业安全运营模式创新。

三、项目技术方案

（一）总体规划

奇瑞汽金基于XDR平台构建全域安全运营体系，通过多维度能力整合实现日常安全工作的智能化升级。在数据采集层，平台覆盖终端、网络设备、主机、云环境等全量IT资产，对海量异构数据实施规则过滤、标准化清洗及分级标识，形成统一格式的高质量数据池，为深度分析夯实基础。

在安全检测层，依托统一数据模型融合终端与网络侧信息，结合特征匹配、攻击图谱构建及关联分析技术，精准还原攻击链路，有效过滤90%以上无效告警，提升威胁识别准确率，助力安全运营团队快速定位核心风险点并评估资产影响范围。

在响应处置层，通过SOAR模块与现有安全产品深度联动，建立包含IP封禁、流量阻断、文件隔离等自动化处置剧本，实现从威胁识别到拦截的分钟级闭环。通过“数据采集-精准检测-智能响应”的三层联动机制，推动安全运营从人工驱动向AI辅助驱动的模式转型，最终形成覆盖攻击全生命周期的动态防御体系，显著提升公司业务系统的主动防御能力。

（二）业务模式

XDR平台业务模式以“数据整合-智能分析-自动化响应”为核心，增强现有安全运营体系的运行效果。XDR平台作为安全运营体系的新中枢平台，突破了原有态势感知平台对设备类型与日志格式限制，广泛对接终端防护、网络边界设备及云端安全组件，通过统一数据管道实现跨层安全数据的实时处理，构建覆盖攻击面全要素的关联分析能力。

平台聚焦三层业务模式：一是在数据层打通异构设备日志的采集壁垒，形成标准化威胁情报池；二是在分析层通过行为建模、攻击链还原等技术，将离散告警转化为可追溯的入侵事件；三是在运营层基于自动化编排能力，将传统人工处置流程升级为预定义响应策略的动态执行。

相较于原安全运营体系，XDR平台并非替代既有安全组件，而是通过增强数据聚合深度与分析精度，为安全团队提供高置信度的决策依据，同时利用自动化处置释放人力成本，形成“精准检测驱动高效响应”的闭环运营模式。该模式既保持现有安全架构的稳定性，又通过XDR的深度数据洞察能力，实现从“泛在感知”到“精准对抗”的运营层级跃升。

（三）技术架构

XDR平台采用业界领先的Kubernetes容器编排技术+微服务架构，从数据采集到最终的安全可视呈现，通过数据接入、检测响应、管理三个层级形成完整的技术架构：

1.数据（组件）接入层

XDR数据采集的类型分为三种，分别为网络侧遥测数据，终端侧遥测数据以及第三方数据，采集的数据以JSON或文件的格式上报。

（1）网络侧遥测数据具体包含如下信息：

-态势感知：脆弱性、服务探测、主机探测、网站攻击、后门通信、账号爆破、攻击利用、邮件攻击、DOS攻击、漏洞利用、黑客工具、异常流量。

-防火墙：网站攻击、漏洞攻击、业务风险、DOS攻击、勒索挖矿、僵尸网络、异常流量。

-探针：协议、NetFlow、少量Payload。

（2）终端侧遥测数据具体包含如下信息：

-EDR：杀毒类日志和IOA类日志。

-Windows：进程信息、网络连接、DNS查询、注册表修改、文件行为、服务信息、计划任务、账号信息、WMI（Windows 管理规范）、应用漏洞利用探针、API信息。

-Linux：文件、进程、驱动、系统调用、模块事件、脆弱性。

（3）第三方数据具体包含如下信息：

AD域，VPN等日志，同时XDR平台具备广泛的数据接入能力，能将公司现有的不同厂商设备日志接入做统一展示，挖掘公司原有投资价值。支持安全厂商包含深信服、绿盟、天融信、启明、网御、奇安信、亚信、迪普、青藤等主流安全厂商。

2.检测响应层

XDR平台检测响应层使用核心的威胁检测引擎、告警聚合引擎和事件还原引擎作为底层数据处理的核心，通过结合多种关联规则模板来实现复杂的CEP语义。将终端侧和网络侧收集的数据，与资产、时间等因子做时间线关联、因果推断，最终生成平台侧的关联事件，关联情况不同XDR平台的处理机制也不相同。

对于组件上传到XDR平台的强信号（只有黑客会触发的行为信息为强信号，如IOC），XDR平台进行强关联分析，平台提供可视化和高可见性，结合精准详尽的处置响应建议，帮助公司安全运营团队提高效率，显著降低了MTTD（Mean Time To Detect，平均检测时间）和MTTR（Mean Time To Response，平均响应时间）。

而组件上传到XDR平台的信号有弱有强时，XDR平台通过多因子关联提升检测精度，有效降低告警误报量，针对原本单一网络侧或终端侧无法精准检测的攻击，如Webshell上传成功、RDP爆破成功等，网络和终端数据相互印证，互为补充，大幅提升了检测精度。

对于组件上传到XDR平台的多个弱信号，XDR平台将进行统一整合，提升了威胁检测的覆盖广度，无论是低危的自动化脚本攻击，还是高危的高级持续威胁，在XDR平台下都将无处遁形。

3.管理层

XDR平台的管理层从安全事件闭环全流程为出发点，为公司安全人员提供精准、简洁的可视化，以及便捷、高效的业务交互页面。安全可视中心提供丰富的图表可视化，包括安全事件总览、监控大屏、自定义可视化中心，可清楚明晰安全态势和事件处置方向。

平台的威胁调查中心提供日志、告警、事件管理功能，平台集中化了所有孤立的端网安全事件和威胁告警，进行统一管理。支持针对各类事件，借助平台提供的工具和流程，实现不同事件不同处置过程规范性的跟踪管理。对日志、告警、安全事件实现多种筛选条件的检索，可基于业务安全需求进行自定义建模。

不仅如此，安全闭环功能使得安全人员可以快速对威胁进行处置和响应。平台支持一键遏制，通过API接口，联动公司不同的安全设备组件，下发处理动作完成对告警事件的处置。可通过智能对抗、SOAR等实现自动化闭环处置，通过工单流程可实现不同角色间的协同和流程化运维，提升安全运营效率。

四、项目过程管理

奇瑞汽金XDR平台建设采用分阶段敏捷实施模式，历时12个月完成全流程交付：

1.需求规划阶段（2024年5月~7月）：梳理并研讨公司安全运营体系的缺陷和不足。基于现有安全运营体系痛点，与各安全厂商沟通解决方案。最终，确定以“数据融合-精准检测-智能响应”为核心目标，选定XDR技术路线以完善安全运营体系。

2.技术规范制定阶段（2024年8月-12月）：评估公司现网设备的日志接入量，评估出XDR平台所需的资源总量。同时参考安全运营团队以及各安全厂商的相关意见，制定端网数据实时聚合、攻击链动态建模等关键技术的技术规范，以及标准化数据的接入规范。

3.招投标及合同签订阶段（2025年1月-2月）：撰写满足技术规范的招投标技术参数，与中标厂商签订合同。

4.设备调试阶段（2025年3月）：在测试环境部署设备，优化数据清洗规则与检测机制，实现无效告警过滤率超90%，开发自动化响应剧本，完成安全组件的日志兼容性验证，并通过仿真环境验证多源告警关联分析准确率，确保设备的上线应用效果。

5.全面上线阶段（2025年4月~至今）：设备正式运行，运行的一个月期间，XDR完成全量IT资产覆盖和梳理，建立“安全团队-IT部门-厂商支持”三级协同机制，通过每周迭代更新威胁情报库与响应策略，确保平台持续适配业务变化。

五、运营情况

自XDR平台正式投产以来的近两个月，奇瑞汽金安全运营效率实现质的飞跃，详细安全运营情况如下：

1.威胁检测能力：平台多次通过端网协同检测技术，精准识别Webshell上传、横向渗透等高级攻击行为，未知威胁检出率相较以往至少提升了40%。

2.响应处置效率：依托预设的自动化剧本，实现85%的中高危事件分钟级闭环处置，MTTD（平均检测时间）缩短至8分钟，MTTR（平均响应时间）降至15分钟以内，较原体系效率提升300%。

3.运营闭环成效：自动化闭环占比72%，剩余事件通过工单系统实现24小时内人工闭环，整体处置成功率达100%，未发生业务中断或数据泄露事件。

六、项目成效

1.社会效益

作为汽车金融行业数字化转型的先行者，奇瑞汽金通过XDR平台构建的主动防御体系，不仅巩固了企业在行业内的技术领先地位，更以透明化、智能化的安全实践彰显对客户数据安全的高度责任感。平台通过实时威胁拦截与全流程闭环管理，有效保障客户个人信息及金融数据安全，显著增强用户对金融服务可靠性的信任度，同时为同业提供可借鉴的“技术驱动安全”实践范本，推动行业整体安全水平提升。

2.经济效益

运营成本优化：通过自动化响应机制大幅减少重复性人工操作，安全团队得以聚焦高价值风险研判，同时7*24小时智能值守模式降低了对第三方服务的依赖，实现运维资源的高效配置。

风险损失规避：依托精准威胁检测与快速响应能力，成功拦截多起高级定向攻击，避免因数据泄露或业务中断导致的潜在经济损失，验证了“主动防御优于事后补救”的成本控制逻辑。

长期投资价值：在兼容现有安全设备的基础上，通过分层建设策略实现能力平滑升级，既控制初期投入规模，又为后续安全体系扩展预留空间，形成可持续优化的投入产出模型。

七、经验总结

奇瑞汽金基于XDR平台的网络安全防护体系建设，以“技术驱动安全”为核心逻辑，通过系统性规划与创新实践，成功打造了适应金融行业数字化转型需求的智能安全运营体系，为行业提供了可复制的技术升级路径与运营管理经验。

1.顶层设计与战略协同是项目成功的基石

项目从规划之初即将网络安全防护能力提升纳入企业数字化转型整体框架。通过深入分析传统安全体系的局限性，精准锚定“数据孤岛、响应滞后、人力依赖”三大痛点，确定以XDR技术为核心的技术路线，确保建设方向与企业战略高度契合。同时，建立跨部门协同机制，统筹安全、IT、业务部门的资源投入，实现技术升级与业务发展的双向赋能。

2.技术架构的开放性与兼容性是规模化落地的关键

项目采用“轻量改造、分层整合”的建设思路，依托XDR平台的开放架构，兼容多家厂商设备，既保护既有投资，又避免因技术绑定导致的后续成本激增。通过统一数据管道实现多源异构日志的标准化处理，构建覆盖云、网、端的数据分析能力，解决了传统安全设备协同低效的顽疾。在技术选型上，既保障了平台的高可用性与弹性扩展能力，又为后续功能迭代奠定技术基础。

3.分阶段敏捷实施保障风险可控与价值速显

项目采用“需求验证-局部试点-全面推广”的渐进式路径，通过为期12个月的阶段性推进，有效平衡技术风险与建设效率。在需求规划阶段，通过多轮业务场景推演明确核心指标；在试点运行阶段，选择非核心业务系统验证检测规则与响应剧本的有效性，快速沉淀标准化运维流程；全面上线阶段则通过“安全团队-IT部门-厂商支持”三级协同机制，实现威胁情报库、检测模型的动态优化，确保平台能力持续适配业务变化。

奇瑞汽金XDR平台的建设经验表明，金融行业的网络安全升级需以业务场景为锚点、以数据能力为引擎、以开放生态为支撑，通过技术创新与运营机制的双重革新，实现安全防护从“被动合规”向“主动赋能”的跨越。这一实践不仅为企业构筑了数字时代的核心竞争力，更为同业探索“安全驱动业务创新”提供了可落地的参考范式。