文章总结: 默安科技安全运营智能体在能源行业实现日均2000+次攻击流30秒内从发现到多防火墙联动封禁的落地实践。该方案通过XDR平台实时采集多源数据,结合AI大模型进行告警深度分析、资产关联与攻击链还原,输出风险等级评定。运营人员可通过自然语言交互辅助决策,高风险事件自动处置,中低风险需人工确认。最终通过MCP协议向异构防火墙同步下发封禁指令,实现跨品牌自动化响应,显著提升安全运营效率。 综合评分: 84 文章分类: 安全运营,威胁情报,安全工具,解决方案,红队
30秒从告警到封禁:默安智能体与XDR、防火墙联动落地实践
值得信赖的 值得信赖的
默安科技
2026年7月2日 17:45 浙江
在小说阅读器读本章
去阅读
日均2000+次攻击流,30秒内完成从发现到多防火墙联动封禁——这不是概念验证,是默安科技安全运营智能体在能源行业的真实落地结果。
行业现实:买得越多,防得越慢
政企网络安全建设持续加码,防火墙、NDR、EDR等安全设备越堆越多,但运营效率并未同步提升。面对日均数千次的攻击流量,传统人工研判与处置模式的瓶颈愈发明显:
• 研判慢:告警触发后,安全工程师需逐一分析攻击特征、评估影响范围、确认是否误报,单次研判耗时数十分钟至数小时
• 联动难:异构防火墙品牌各异,策略下发需分别登录不同管理平台操作,跨设备协同靠人工逐条执行
• 响应滞后:从告警产生到完成封禁,中间横跨多个环节与平台,实际响应时间远超”分钟级”要求
安全团队深陷”看得见、拦不住”的困境。
落地场景:
默安智能体与XDR联动多防火墙自动化封禁
针对上述痛点,默安科技以安全运营智能体为核心,联合XDR平台构建了从威胁感知到自动封禁的全流程智能化运营体系,已在能源单位的真实业务环境中完成落地验证。
第一层:威胁感知——多源数据实时采集
XDR平台实时采集攻击流数据、终端行为日志及全流量镜像等,构建全网威胁感知底座。多源数据统一汇聚,消除单点设备的感知盲区。
第二层:智能检测——AI大模型立体纵深研判
在XDR告警引擎完成初步特征分析与风险评分的基础上,默安智能体介入,进行立体纵深分析:
• 告警分析:对告警内容进行深度语义理解,而非简单规则匹配
• 资产关联分析:评估被攻击资产的业务重要性及漏洞暴露面,判断攻击实际威胁等级
• 攻击链还原:基于ATT&CK框架映射,判断攻击当前所处阶段,预判后续可能动作
综合研判后,智能体输出高/中/低风险等级评定,为后续处置决策提供依据。
第三层:决策分析——自然语言交互辅助决策
安全运营人员可通过自然语言向默安智能体发起查询,例如:”分析IP 192.168.x.x的攻击意图”、”评估封禁该IP对业务的影响”。
智能体基于全量上下文信息生成封禁策略建议,包含:
• 封禁范围:单IP/网段/地域
• 封禁时长:1小时/24小时/永久
• 影响评估:关联业务系统及误报风险
处置策略遵循分级机制:高风险事件自动处置,中低风险事件需人工确认,在效率与安全之间取得平衡。
第四层:自动化执行——跨品牌防火墙联动封禁
发现威胁后,默安智能体通过MCP协议向XDR下发封禁指令,XDR作为统一编排中枢,通过API向异构防火墙同步下发策略:
• 防火墙A:阻断恶意IP南北向访问
• 防火墙B:联动封锁攻击源IP,联动IPS策略
• 防火墙C:ACL策略自动下发,阻断异常流量
• 防火墙D:IP黑名单同步,边界防护加固
四家不同品牌的异构防火墙,一套指令同步生效,无需人工逐一操作。
落地效果显著
经过此次实践检验,默安科技安全运营智能体在该能源单位的真实落地数据如下:
结语
30秒封禁、90%自动化处置、4家异构防火墙联动——这些数字不是演示环境跑出来的,是在能源单位真实业务网络里的落地结果。
默安安全运营智能体要做的,从来不是在控制台里多放一个对话框。它的定位从发布第一天就没变过:是来干活的,不是来聊天的。
默安科技安全运营智能体:已在真实环境中完成落地验证。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:默安科技 值得信赖的 值得信赖的《30秒从告警到封禁:默安智能体与XDR、防火墙联动落地实践》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论