该论文提出了一种面向安全运营中心（SOC）的端到端威胁管理框架，旨在解决威胁数量增长、SIEM平台异构以及人工分诊耗时的运营挑战。框架包含三个核心模块：基于集成学习的检测模块、语法约束的查询生成模块（SQM）以及检索增强的响应支持模块。检测模块评估了传统机器学习分类器和多种大语言模型（LLM），并选择三个性能最佳的LLM构建集成模型，在SIEM日志上达到82.8%的准确率和0.120的假阳性率。SQM架构通过平台特定的语法约束、元数据检索和文档驱动的提示生成可执行查询，支持IBM QRadar和Google SecOps，BLEU得分为0.384，ROUGE-L得分为0.731，比基线LLM性能提升两倍以上。在事件响应方面，集成SQM证据将解决代码预测准确率从78.3%提升至90.0%，总体推荐质量评分达8.70。在生产SOC环境中，该框架将平均事件分诊时间从数小时降至10分钟以内。研究证明，结合检索增强的领域约束LLM架构能够满足运营安全环境对可靠性和效率的严格要求。