产品详细介绍
Andesite 是一款专为企业级安全运营中心(SOC)打造的人机协同(Human+AI)网络安全平台,核心目标是赋能而非取代安全团队,让分析师在复杂多变的威胁环境中更快、更准地做出关键决策。
平台通过独特的 Decision Fabric(决策织网) 技术,将分散在组织内外的结构化、半结构化和非结构化数据进行连接、关联和上下文建模,在统一的风险语境下输出可执行的洞察和决策建议。无论是日志、告警、威胁情报、工单数据,还是云与本地的多源安全数据,都可以在 Andesite 中被整合和分析。
核心能力与特点:
-
人机协同决策:
- 不替代安全专家,而是为其提供威胁评估、风险分析和处置建议;
- 在调查过程中自动聚合相关证据,减少人工检索和比对时间;
- 支持在关键节点由人类做最终判断,AI 提供解释性上下文和推荐行动。
-
Decision Fabric 决策织网:
- 作为数据洞察基础设施,将原本孤立的安全与业务数据“织”成统一视图;
- 自动进行数据连接、关联、排序、分组与上下文分析;
- 在组织特定的风险背景下生成可执行的告警优先级、调查路径和响应方案。
-
复杂企业环境适配:
- 面向大型、异构、混合云与本地并存的高复杂度环境设计;
- 能处理来自多种安全工具和业务系统的海量数据,打通数据孤岛;
- 支持跨团队、跨系统协同,帮助安全团队聚焦真正关键的威胁和预防工作。
-
自动化与加速调查:
- 自动收集和关联与告警相关的上下文信息(资产、用户、历史事件等);
- 通过 AI 驱动的分析模型,快速识别模式、异常和潜在攻击路径;
- 显著缩短从发现到调查、从调查到响应的整体时间。
-
内建安全、合规与 AI 安全治理:
- 平台在设计之初即内建持续安全、合规、隐私与 AI 安全控制;
- 对标并支持多项主流标准与框架,包括:
- SOC 2 Type II
- NIST CSF、NIST AI RMF、NIST 800-53(High)
- CISA、CSA(含 AI-STAR Level 2)、PCI DSS、HIPAA
- ISO 27001:2022、ISO 27701、ISO 42001
- GDPR 等
- 适用于公共部门与私营企业对高等级安全与合规的要求(如 FedRAMP High in Process、HITRUST 等)。
通过上述能力,Andesite 帮助安全团队从“告警疲劳”和“数据孤岛”中解放出来,将更多精力投入到威胁预防、风险治理和战略性安全建设上。
简单使用教程
以下为基于典型企业 SOC 场景的简明使用步骤,实际部署可根据组织规模和合规要求进行调整:
-
接入与集成准备
- 明确需要接入的主要数据源:如 SIEM、EDR、NDR、身份与访问管理系统、云平台日志、工单系统等;
- 与 Andesite 团队或管理员确认连接方式(API、日志流、数据导入等)和权限范围;
- 在测试环境中先完成小范围数据接入验证,确保数据格式与字段映射正确。
-
配置 Decision Fabric 数据织网
- 在平台中定义关键实体:资产、用户、应用、网络区域、业务系统等;
- 配置不同数据源与这些实体的关联规则(例如:IP 与主机、账号与员工信息等);
- 设置组织特定的风险上下文:包括关键资产清单、敏感数据区域、合规要求等。
-
建立告警与调查工作流
- 导入或配置现有告警规则和检测逻辑,指定告警来源与优先级;
- 在 Andesite 中定义调查流程模板:如初步分级、证据收集、分析、处置与复盘;
- 为不同类型事件(如账号异常登录、数据外泄嫌疑、横向移动等)配置自动化调查步骤。
-
启用 AI 辅助分析与决策
- 在告警详情页启用 AI 辅助视图,让系统自动聚合相关日志、历史事件和资产信息;
- 使用平台提供的分析建议:例如“可能的攻击路径”“推荐的下一步调查动作”“建议处置措施”;
- 对 AI 建议进行人工审核和反馈,持续优化模型在本组织环境下的表现。
-
日常安全运营与协同
- 安全分析师在日常班次中通过 Andesite 统一界面查看告警队列和风险视图;
- 使用平台的分组、排序和上下文功能,快速识别高风险事件并优先处理;
- 将调查结果同步到工单或协作系统,形成完整的事件闭环记录。
-
合规与审计支持
- 利用 Andesite 的合规对标能力,查看当前安全控制与 NIST、ISO、CSA、GDPR 等框架的映射情况;
- 在审计或合规检查时导出相关事件记录、响应流程和控制证明材料;
- 定期审查平台中的策略与配置,确保与最新法规和内部政策保持一致。
通过以上步骤,组织可以逐步从基础数据接入与可视化,过渡到高度自动化、AI 辅助的人机协同安全运营模式,在保证合规与隐私前提下显著提升威胁检测与响应效率。
