客户属于政府单位，是省人民政府组成部门，主管全省科技工作整体。客户网络架构包括核心业务区、内网区、对外发布区、边界区、虚拟化区、云端区、安全管理区等，同时业务系统之间的交互亦十分频繁。现网安全设备种类较多，包括防火墙、IPS、IDS、EDR、虚拟化网络安全产品等，具备基础的防御能力。

客户在日常运营过程中依赖被动防御、大量安全事件的产出需要人工介入分析、一次常规事件响应涉及多个设备/系统，安全管理人员工作量增加且效率降低。

同时相关政策对网络安全威胁监测、处置和通报等保障工作也提出更高要求，提升安全主动防护能力，建设自动化纵深防御体系，实现持续运营闭环。

短期目标：实现手动任务和重复性任务的自动化，缩短威胁的补救时间，提升运营效率

长期目标：从综合型安全运营视角里找到可以量化、标准化的抓手去提升安全运营成熟度

山石网科根据用户的实际需求，结合网络架构、业务流程、运营能力及现网的安全工具堆栈情况，针对性部署山石智源平台：

智源平台部署于安全管理域内，对网络环境中各安全设备威胁信息、流量分析结果等进行统一接入并与具体安全设备配置联动能力，依据分析检测结果进行告警，平台按照设定的剧本进行智能决策，迅速响应，在安全产品上完成信息同步、更新策略信息，完成响应防御操作。

平台以机器学习及自动化功能为基础，运用Kafka分布式消息队列为整个平台搭建消息总线，将采集、处理、分析、联动、控制等各模块连接到总线完成整体数据流的自动化运算和处理，最后进行展示输出。

自动化协同响应，提升检测与响应效率
山石智源平台通过SOAR与机器学习、自动化等技术相结合，可实现人机协同作战的应用场景。通过给平台提供相近领域的样本训练，平台基于历史数据借助机器学习算法进行统计模拟后，可实现持续的“自学习、自优化”实现安全运营可持续优化。山石智源平台可以基于安全事件、威胁情报等编排形成剧本，并结合人工验证的方式最后一键全部部署，完成了安全事件和威胁情报下人机的协同作战。

通过剧本化方式驱动客户网络安全的运营与自动化
通过平台可视化看板工具，减轻了对用户经验的需求，预置剧本（自动化工作流）、服务等级保障（工单系统）、集成协助（联动）、自动化告警相结合，大幅降低操作复杂度及难度。

编排能力：具备将用户分散的安全能力和响应的过程标准化，形成能随时调用的剧本库；

自动化能力：剧本触发的条件、自动化执行、人工干预、执行反馈，实现人、技术和流程的整合与协同联动，减少人工干预；

能效能力: 包含自动化确认及协助调查节省的时间，用户可自定义剧本、应用、自动响应触发条件和案件处置过程，无缝融入现有安全体系，进一步提升了协同作战的效率；

响应能力：联动安全产品种类、数量以及可以下发的具体动作类型，有效解决安全运营最后一公里，实现手动或自动化处置。

数据源角度：可以对接海量异构安全信息，如用户现有的日志分析系统或现有的平台进行对接，无缝融入现有安全体系。

联动角度：和主机安全设备联动，如EDR，扩充的能力有访问控制、结束进程、文件隔离、USB管理、重启等；和网络安全设备联动，如NGFW、IDPS、云安全防护产，扩充的能力有：策略配置、封堵、阻断等；和工作系统联动：对工作流进行跟踪、处置，效率评估；和情报系统联动：支持对IP、域名、文件等情报检测；通过不断的和其他系统进行联合，逐步扩充SOAR的安全编排、处置能力。

加速事件响应生产力：替换低级手动任务，增加自动化和安全协调，事件响应时间大幅缩短，提高准确性。

标准化和流程扩展：通过逐步、可复制工作流程、安全协调为标准化事件赋能和简化响应流程，提高响应的基线质量，并为规模的扩大做好准备。

复用现有资源改善安全态势：通过自动执行可重复操作并最大限度地减少控制台切换，安全编排能够轻松协调多种产品，并相应降低安全性和业务风险。

通过以上一系列改变，政府客户安全运维人员的工作压力得以释放。山石网科智源平台既帮助运维人员从繁琐的多设备管理、手工重复性任务的工作中解放出来，同时基于智源平台的自动化能力，提升了安全事件响应效率，保障了各业务系统的运行安全。安全运维人员的工作量得以大幅下降，可以把更多精力投入到核心业务的运行保障中去。

山石智源借助安全编排与自动化解决方案，能够帮助用户将复杂的安全运营过程梳理为任务和剧本，将分散的安全工具与功能转化为可编程的应用和动作，然后借助编排和自动化技术，将人、技术和流程高度协同起来，支撑安全运行能力的建设。通过不同业务的处置经验持续固化剧本场景，对剧本等工具有效利用，以及威胁情报在安全运营中的使用，从而增强用户在面临威胁时预警、防御、检测和响应能力。