天璇安全分析响应平台（SOAR）作为一款国内技术创新、功能丰富、面向实战化安全运营的安全编排自动化与响应平台，结合自动化安全技术，将安全专家的安全事件应急响应经验通过剧本的方式固化到平台中，基于威胁场景对提供自动化威胁识别、自动化线索取证、自动化威胁研判、自动化误报分析、自动化溯源分析、自动化制定处置方案、自动化联动处置七大安全自动化能力，利用SOAR剧本技术将分散的安全工具与功能转化为可编程的应用和动作，然后借助编排和自动化技术，将团队、工具和流程高度协同起来。让平台作为“安全专家”7x24小时的为政企客户提供安全值守服务。

数据采集与存储

支持与SIEM/SOC/SA等安全分析类平台或产品对接，实现自动化自动解析、过滤、富化、内容转译、归一化,支持通过Syslog、DB、文件、API接口等多种采集方式。同时支持通过自动化或半自动的方式基于威胁场景采集威胁相关的攻击线索进行取证和证据线索预处理。

威胁情报

平台支持通过接口或人工方式维护外部威胁情报，并且支持通过内部的安全告警利用系统提供的调查取证、事件复盘功能生成内部威胁情报，并支持威胁情报的共享。系统支持基于威胁情报的预警分析、漏洞快速筛查、溯源分析等功能。

漏洞管理

平台支持通过接口或人工方式维护外部漏洞扫描设备或软件，支持与平台的剧本联动实现自动化的漏洞分析、自动化的漏洞复核，同时平台提供漏洞全生命周期管理能力。

威胁场景识别

平台提供多层次的威胁场景分析技术，通过多年积累的丰富的安全分析经验，系统内置多种安全分析场景规则，也可以通过可视化方法编辑关联规则，威胁场景分析引擎实时分析采集的安全告警元数据，结合各类情境数据，识别威胁场景。

灵活的剧本编排能力

平台提供可视化剧本编辑器及丰富的剧本基础元数据配置能力，例如，元数据、剧本函数、剧本常量、黑/白名单、软件漏洞版本库等，剧本引擎提供剧本作业调度、异步处理，并支持在线剧本调试和版本回滚能功能。

自动化威胁研判

基于网络安全事件应急响应实战场景，平台基于自动化技术结合威胁场景提供了与之对应的线索取证、攻击检测、误报检测、溯源分析多种类型的剧本，实现自动化的安全事件分析研判，并自动制定威胁处置方案。

自动化联动处置

基于网络安全事件应急响应实战场景，平台基于SOAR技术结合威胁场景提供了与之对应的联动处置剧本，平台具备与FW、WAF、IPS、EDR等安全设备的联动能力，结合用户的安全需求，利用SOAR的编排与自动化的技术实现安全场景的自动化联动处置。

资产管理

通过结合资产价值、脆弱性信息、威胁信息，对全网资产进行风险评估，量化风险指标，帮助用户更好的了解和掌控安全风险，为安全决策提供有力支撑。

多元的数据采集

可以通过多种方式来收集威胁告警、证据线索数据，例如 Syslog、SNMP、FTP/SFTP、JDBC/ODBC、WMI、Shell、PowerShell等。

安全能力剧本化

利用剧本技术将安全专家的安全事件应急响应经验固化下来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控。

安全运营自动化

基于网络安全事件应急响应实战场景，平台利用剧本技术实现自动化线索取证、自动化攻击检测、自动化误报检测、自动化联动处置、自动化溯源分析的能力，实现7x24小时的自动化、智能化的安全事件分析处置能力。

告警响应智能化

基于网络安全事件应急响应实战场景，通过平台提供威胁场景处置知识库的管理能力，实现基于威胁场景自动创建安全事件处置方案。

专业的安全运营服务

国舜建设了专业的安全运营服务团队。围绕平台提供专业的安全分析服务。提升平台的使用效果，以平台为中心为客户输出安全态势感知、预警响应和安全防护能力，帮助企业保护自身网络的安全，减少企业遭受攻击时受到的损失。

天璇安全分析响应平台（SOAR）可与企业现有的态势感知、SIEM、SOC等安全事件管理类平台进行集成，通过接收来自于安全事件管理类平台的安全告警数据，并对数据进行预处理，自动识别告警对应的威胁场景，自动触发剧本流程实现自动化线索取证、自动化威胁研判、自动化误报分析、自动化溯源分析，并支持集成企业现有的安全分析、检测、防御类的产品（堡垒机、威胁情报、沙箱、防火墙、漏扫等），自动结合客户环境制定威胁处置方案，并支持与安全设备联动实现自动化威胁联动处置。

安全事件运营降本提效

平台通过自动化安全和SOAR技术的融合，尽可能多的利用自动化技术实现安全告警的线索取证、分析研判、误报分析、溯源分析，自动结合实际场景制定对应的安全应急处置方案，并提供自动化联动处置的能力。从而缩短威胁研判和处置的时间，提升安全事件运营效率。

安全运营流程标准化

将企业的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控。

持续监测资产风险

帮助建立资产风险评估能力，实现资产安全风险综合评估，反映资产安全状态，以量化的方式体现资产安全风险和安全工作成果。

安全事件运营指标化

平台将安全事件运营流程都通过剧本数字化管理，每一次的执行过程都记录在案，安全事件应急响应流程的各类指标全部可评估、可度量、可追踪。

安全运营决策支撑

通过平台对企业的安全事件运营流程数字化管理、数字化执行、数字化指标评估后，管理者可以有效的评估什么流程基本无用，什么流程执行效率不高，什么流程发挥了大的作用，甚至什么安全设备在所有流程中被使用的价值较大。从而为以后的安全投资决策，安全团队建设决策提供有价值的数值化支撑。