“一天内完成接入超过20种安全设备及网络设备日志，一个月实现日均安全告警数量几十万下降至200条以内，安全运营处置效率提升200%。”

网络安全作为底线和根基，对于保护数字资产在存储、传输和使用中的安全性具有至关重要的作用。安全需求日益迫切，推动安全生态不断发展。

事实上，国内企业安全体系建设，已经从合规驱动转向实战驱动。

近日，【网安新视界】第一季第四课开讲，极盾科技解决方案负责人龚磊从某国内顶级汽车集团的安全运营场景出发，分享了极盾·析策（XDR）落地方案及价值产出。

安全运营之痛，耗时，费力，不准确

该汽车集团一直专注实业，连续十一年进入《财富》世界500强，是全球汽车品牌组合价值排名前十中唯一的中国汽车集团。业务极速发展的同时，非常重视安全体系建设，已投入大量安全资源，部署了众多安全设备，每日累计产生500G / 5亿条安全日志，对应每天的安全告警数量超几十万。

然后这些安全设备及日志都是相对孤立的，数据孤岛严重，无法完成统一的安全运营分析；无法满足海量安全数据场景实时威胁检测、预警、场景化响应的需求；也无法达成等保三级日志审计相关要求。同时，繁重的系统维护成本，低下安全运营效率，给安全运营人员造成极大的运营压力。

“耗时，费力，不准确”，成为所有安全运营人员之痛

如何更高效的发现安全事件、自适应智能化主动响应安全风险、精准无误诊断的业务故障和作出高速及时的应急处置，将成为企业安全运营团队的严峻挑战。

安全运营中台，让降本增效发生

在此背景下，该车企和极盾科技结缘，双方合力打造一套基于极盾·析策（XDR）框架构建安全运营中台解决方案，实现了每日告警数量下降至日均200条以内，安全运营处置效率提升200%。

那么，这一切是如何实现的？

极盾·析策（XDR）方案的业务流程主要分成四个模块，这四个模块环环相扣，又相互促进，形成“以数据为驱动”的安全运营闭环，从而构建坚韧的安全运营中台。

第一步、是安全设备数据接入，一天内快速接入超过20种安全设备及网络设备日志，比如EDR、CASB、NTA 、WAF、防火墙/VPN等安全设备。

第二步、进入数据处理环节，通过数据处理模块，快速实现数据结构化标准化，针对不同的安全设备的跨源数据也能实现归一化，以进行后续关联检测分析。

第三步、对处理完的数据进行检测分析，极盾·析策的检测分析模块采用互补的两种思路：以机器学习模型为主进行异常检测识别未知威胁，以及结合极盾科技自有的专家经验规则策略为主进行攻击检测识别已知威胁，从而在原有告警基础上实现了大幅降噪（每日告警数量下降至日均200条左右），精准识别安全风险的同时，大大提升了安全运营效率。

第四步就是响应模块。通过灵活地剧本编排、处置脚本设置实现针对各类负责安全场景地一系列安全响应动作，协助该集团构建安全检测响应的闭环体系，运营处置效率提升200%。

基于本次合作，该汽车集团安全负责人评价说：“极盾·析策（XDR）是我见过的安全产品中安全策略配置最为灵活，实现的安全业务含义最有想象空间的，对我们安全运营提供的帮助很大。“

而作为一家从创立之初就一直秉承着围绕业务场景构建检测和响应能力的新兴网络安全公司，极盾科技也期待与该汽车集团持续共创，为产业提供更清晰的、可落地的安全运营方案，让安全之力化为效能之力。