面对网络攻击手段的智能化、自动化升级，传统安全防护体系在重保场景下面临着威胁溯源困难、响应效率低下、协同能力不足等挑战。山石网科 Open XDR 解决方案以“开放融合、AI 赋能、智慧运维”为核心，构建了一套覆盖“预测 - 防御 - 检测 - 响应”全流程的重点保障体系，为政府、金融、能源、医疗等关键行业提供了高效、智能的安全运营保障。

Open XDR 在重保中的实战应用

重保工作台与专项治理

山石网科 Open XDR 内置重保工作台，可提供一站式重保服务，涵盖快速配置引导、威胁事件排查溯源、响应处置跟踪等功能；同时支持挖矿、勒索、弱密码、等保等五大专项治理，例如勒索专项可展示各阶段资产受攻击情况，支持一键处置受勒索资产，提升专项检测效率。

图注：内置的重保工作台

资产与风险的动态管理

重保期间资产梳理与风险管控是基础工作，山石网科 Open XDR 通过“资产-漏洞-威胁”关联分析实现动态防护：

• 全域资产发现与分类：通过主动探测与被动流量分析，发现未记录的内网资产，并按重要性分级管理。例如，在某企业案例中，平台发现数百个未备案的物联网设备，及时纳入防护范围，消除潜在风险。

• 风险可视化与优先级排序：结合漏洞扫描数据、威胁情报与资产重要性，生成风险热力图与处置优先级建议。重保期间可聚焦高风险资产，如核心业务服务器、数据中心边界设备等，进行针对性加固。

全流量威胁狩猎与精准溯源

在重保期间，网络流量中隐藏的高级威胁（如 APT 攻击、隐蔽信道通信）是最大风险之一。山石网科 Open XDR 通过 NDR（山石智·感 BDS）组件实现全流量深度分析：

• 多引擎协同检测：结合入侵检测引擎、异常行为分析引擎、威胁情报关联引擎，精准识别已知/未知威胁。例如，通过 DNS 流量分析发现恶意域名解析行为，结合 IP 信誉情报，可快速定位内网受感染主机。

• 攻击链完整还原：通过流量探针采集全量通信数据，基于时间轴与拓扑图还原攻击路径。如某案例中，系统通过分析 DNS 查询、恶意域名通信、C&C 服务器连接等多阶段行为，成功溯源到挖矿团伙的完整攻击链，为处置提供完整证据链。

自动化响应与联动处置

重保场景要求对威胁事件“秒级响应、精准处置”，山石网科 Open XDR 的自动化能力显著提升运营效率：

• 剧本驱动的响应流程：预置重保专用剧本，如“恶意IP封堵剧本”“勒索软件应急剧本”，当事件触发时自动执行“检测-验证-处置-验证”流程。例如，检测到勒索软件攻击时，系统自动隔离受感染主机、触发 EDR 全盘查杀、更新威胁情报库，并生成处置报告。

• 跨设备协同联动：通过北向API 与南向数据接入，实现 NGFW、WAF、EDR 等设备的策略联动。如某高校案例中，XDR 平台检测到恶意外联事件后，自动联动边界 NGFW 封堵源IP，并向终端 EDR 下发病毒扫描任务，10 分钟内完成全网络处置，避免事件扩散。

Open XDR 在重保应用中的行业最佳实践

‌

Open XDR，重塑重保新范式

在重保场景的严苛考验下，山石网科 Open XDR 解决方案通过“开放架构、AI 智能、自动化响应” 三大核心优势，实现了从“被动防御”到“主动免疫”的升级。其价值不仅体现在威胁检测效率提升 8 倍、误报率降低 90% 等数据层面，更在于构建了一套可持续进化的安全运营体系，为关键行业在重保期间提供了“看得见、防得住、响应快”的全方位保障。

随着AI大模型、云端威胁情报等技术的深度融合，山石网科 Open XDR 将继续助力企业在数字化浪潮中筑牢安全防线。