第一阶段，构建网络空间防御地图，先知道有什么才能知道怎样做防御，从资产管理开始，从攻击视角看资产，梳理和定义资产对业务的重要性。第二阶段，构建网络空间风险情报地图，有了网络空间防御地图之后，基于视觉的平面看有哪些风险、异常、薄弱环节，不单是内网，还要看外网、看边界、看互联网等。第三阶段，构建网络空间攻击监测中心，要看到谁在攻击。XDR关注底层数据的变化，网络空间的攻击监测需要重点看到异常行为，尽可能感知到可疑行为。第四阶段，构建网络空间威胁复盘中心，需要知道黑客如何攻击，怎么横向移动，产生了哪些关键线索，有没有数据被加密、被窃取等。第五阶段，网络空间应急调度中心。当威胁发生时，企业的应急预案是什么？能不能联动？能不能快速研判？需要提升自动化运营程度。第六阶段，网络空间近地防御。假设网络空间一定会被拿下，资产一定会被侵入，那么被攻进来以后的底层防御逻辑是什么？资产被拿下之后要如何保护企业的核心数据？要做好防勒索，锁住入口，尽量避免基于被攻击机器发生大范围的横向移动和扩散，这些也是未来智安与腾讯安全玄武实验室要重点合作的方向。第七阶段，建立网络空间联合作战中心，XDR将前面所有的能力融合到一个平台上，做一体化的运营，把企业的各种安全设备和能力基于企业关注的业务场景，做安全运营效果的整体提升。

1. 边界防御体系有效性验证——防御体系打通，看清攻击与安全策略有效性；

2. 告警治理能力——面对海量告警，能达到安全团队可运营状态；

3. 高价值场景挖掘能力——在安全分析层面具备焦点，不盲目分析或海量告警而选择性放弃；

4. 画像能力——摸得清攻击者攻击意图、看得见受害者及受害程度&影响面；

5. 事件化能力——看得起攻击来龙去脉，从入侵到横向移动的完整攻击链条；

6. 自动化能力——具备自动化能力，有效释放运营效力，聚焦高价值攻击场景。