11月19日，2024年世界互联网大会“互联网之光”博览会在乌镇隆重开幕，大会聚焦互联网最新发展趋势和前沿技术动态,通过展示、发布、引智、合作、推介等活动,打造全球数字经济产业合作的高端平台。

在大会重要系列活动“网络空间安全治理”新产品新技术发布会上，杭州漠坦尼科技有限公司带来“AI编排自动化加速安全运营建设工作左移”的新技术演讲，分享了公司全新升级的一体化智慧安全运营平台3.0版本AiMSOC中AI编排自动化技术如何去加速安全运营建设工作。

杭州漠坦尼科技有限公司产品部负责人 李侑宸

发布主题

面对日益复杂的安全挑战，企业和组织需要采取更加全面和动态的策略，以确保安全建设的有效性和持续性。安全的建设工作也开始逐步走向体系化、实战化；安全解决方案将过渡到平台级别的产品交付。

如果我们把企业安全建设类比为汽车制造生产的过程，那么企业的现状就是拥有一个安全零件仓库，期望获得一个符合业务需求的安全运营中心来将所有零件组装调用起来。而漠坦尼，就是一家提供快速组合、组装的安全服务公司，旨在让企业安全建设工作实现从局部防御到全局感知，从能力拼图到闭环运行，从特征驱动到数据驱动的最终效果。

杭州漠坦尼科技有限公司从2016年开始做安全运营，基于服务本身总结出安全运营“三大件”：第一 工具，用以解决用什么做安全运营的问题（例如安全产品、开源工具等等），我们具备使用工具去解决单点问题的一些实践经验。第二 流程，解决人以什么样的方式来用好这些工具，我们积累了一些SOP标准化流程集，能够根据企业情况去定制，基于PDCA的框架持续优化和调整。第三  制度，用于解决流程固化的问题，同时对运营效果进行评估。

优质工具、完善的流程，制度固化，指标效果评估及优化，这也就是我们的安全运营平台设计理念。

核心1 智能引擎模块   融合SIEM能力做数据的采集与标准化；自研的XQlite引擎可实现有效告警的挖掘，端网日志关联分析；平台内置SOAR更是能够对关键业务流程进行自主编排。最值得一提的是今年新加入的AIM AI辅助引擎，也是本次发布重点技术内容。

核心2 常态运营模块   展现了安全运营服务的最佳用户体验！运营中心承载着安全风险、威胁、资产、知识的运营能力，处理中心对运营中心输入的事件进行调度处理，智能查询中心通过丰富的查询语句对事件关键日志进行下钻与专业分析。

核心3 扩展运营模块  该模块融入了安全即服务的理念（如HW期间可用情报联动微应用增强组织协调及情报共享；通过简单配置即可在客户现场开展钓鱼邮件的演练等）。

核心4 低代码工作台界面  基于角色定位，平台可根据不同角色所需处理的数据、任务、工具、功能进行拖拽式编排设计定制工作界面，提升日常使用效率。

安萌通过四个步骤实现了AI能力的开箱即用：

第一步 AI agent联动SIEM和SOAR模块。第二步 适配大量能够让AI agent处置的剧本。第三步 根据业务需求编写COT思维链。第四步 与前端界面某个功能菜单进行绑定，即可直接使用。

COT思维链  以安全专家思维一步步教会AI分析决策：

对于复杂的安全事件，大模型难以给出准确的答案，COT思维链可通过复杂的推理，通过对更多维度数据及资源进行调用，来增强模型回答的准确性。

1. 告警辅助研判应用

利用大模型数据分析理解能力对关联告警开展深度调查、举证、数据富化，最终实现告警定性，辅助运营人员进行处置。

2. 7*24小时自主值守

AI自主值守功能通过7*24小时不间断分析、决策，自动帮助用户处理掉绝大多数威胁事件。

3. 工单智能处理应用

通过大模型对工单进行解读、提取重要信息、实现联动处理，加速工单处理闭环效率。

4. RAG知识库应用

通过点击安萌的图标一键唤醒，可询问之前时间段的网络攻击趋势和数据，同时推荐第二轮问题实现引导式提问。

安全事件处置的准确率达80%以上，相当于一位中级安服的水平。