安全运营智能体
安全运营智能体
- 文档首页
安全运营智能体用户指南AI 自动值守AI 自动值守说明
文档反馈
问问助手AI 自动值守是安全运营智能体的核心组件,它作为一个 7 ✖️ 24 小时不间断的虚拟安全专家,自动处理和分析流入的各类告警。
AI 自动值守可以解决什么问题?
传统安全运营中,告警数量庞大、误报率高,导致安运工程师需要花费大量时间进行重复性的人工筛选和初步研判,响应效率低下且容易遗漏高危风险。AI 自动值守的核心价值在于:
- 效率提升:自动化处理绝大多数的低价值告警和误报,显著降低告警噪音,让团队能将精力集中在少数关键威胁上。
- 准确度保障:基于持续学习的 AI 模型和知识库,确保研判结论的准确性和一致性,减少因人为经验差异导致的判断偏差。
- 业务效益:通过量化节约的工时和提升的响应时效,直观展现安全运营对业务的价值贡献。
页面说明
AI 自动值守的主页面是你与智能体交互的核心看板,它集中展示了自动化运营的成果、待处理的告警队列以及相关的配置入口。
页面顶部的三大效能指标卡片,是你衡量 AI 自动值守工作成效的仪表盘。
- 运营效能覆盖 (EFFICIENCY)
- 告警降噪率:展示 AI 帮助你过滤掉的噪音告警比例。
- 聚合事件数:表示 AI 将相似或关联的告警聚合成的独立安全事件数量。
- 研判交付质量 (ACCURACY)
- 平均准确率:反映 AI 研判结论与人工复核结论的一致性,是衡量模型性能的核心指标。
- 全自动闭环率:指完全由 AI 自动完成从研判到处置(如忽略误报)的告警占比。
- 业务效益价值 (BUSINESS VALUE)
- 累计节约工时:根据自动化处理的告警数量与标准人工处理时长估算出的累计节省工作时间。
- 响应时效提升:体现了通过自动化,告警从产生到被处理的平均耗时缩短的比例。
核心功能
告警自动研判
AI 自动值守的核心是其强大的告警自动研判能力,它通过一个分层推理框架对告警进行自动化分析。
- 自动化处理逻辑:
- 告警快检:接收到原始告警后,首先进行快速筛选和过滤,目标是识别并过滤掉明显误报。
- 初步研判:对通过快检的告警进行特征提取、规则匹配和 IOC(Indicators of Compromise)验证,给出初步研判结论(已攻陷 / 误报 / 攻击尝试)。
- 深度调查:当初步研判告警为“已攻陷 (True)”或“攻击尝试 (Attempted)”时,系统会自动触发离线的深度调查,进行更全面的上下文分析和风险排查,而无需人工启动。
- IM 联动闭环:系统支持将高危告警的研判结果实时推送到飞书机器人。你可以在飞书群聊中直接与智能体进行多轮对话,查询告警详情,并执行封禁、忽略等闭环处置操作,极大地提升了应急响应效率。
深度调查
当你需要对一条复杂告警进行深入分析时,可以使用深度调查功能,它会开启一个与安全智能体对话的专属界面。
- 入口:在告警列表的操作列中,单击深度调查。
- AI 对话界面:
- 告警总结:进入页面后,AI 会首先提供一份高度凝练的告警总结,提炼出告警的关键信息、潜在风险和定级建议,并附上详情链接供你查阅原始数据。
- 快捷操作:AI 会根据总结提供一个推荐的分析入口,如“帮我深度分析这条告警 →”,单击即可启动标准分析流程。
- 调查模板与多轮分析:底部的对话框是你与 AI 交互的主窗口。你可以自由输入分析指令,也可以使用预置的调查模板来引导分析过程,例如“查询该源 IP 的其他活动”、“分析受影响资产的漏洞”等。
告警处理
当你完成分析并得出结论后,可通过处理弹窗来闭环告警。
- 入口:单击告警列表中的处理按钮。
- 处理操作:
- 已人工处理:适用于你已通过其他方式(如修复漏洞、隔离资产)解决了该告警反映的问题。选择此项,告警将被关闭。
- 忽略告警:当你确认该告警为误报或无需关注的良性行为时使用。选择此项,AI 会记录你的判断,并在未来遇到相似告警时作为参考。
- 封禁处理:当你确认告警为真实攻击且需要立即阻断时使用。此操作会根据封禁设置中的策略,对告警相关的实体(如源 IP)执行封禁。
知识反馈
知识反馈是人机协作的核心环节,是你向 AI “传授经验”的最直接方式,对于提升模型未来的准确率至关重要。
- 目的:当你发现 AI 的研判结论存在错误时,通过知识反馈机制,将你的专家判断和分析逻辑教给模型。
- 何时填写:在处理弹窗中,当你选择的正确结论与 AI 的原始判断不一致时,知识反馈模块会自动展开,并要求你填写。
- 字段说明:
- 正确结论(必填):从“已攻陷 / 误报 / 攻击尝试”中选择你认为正确的结论。
- 错误原因(必填):选择 AI 犯错的具体原因,如“Siem 规则误报”、“未识别正常行为”等。
- 补充知识(必填):这是最关键的部分。你需要用清晰、结构化的语言描述正确的研判逻辑。
- 如何写出有效的补充知识:
遵循逻辑范式:尽量使用
当...应该...因为...或如果...那么...的句式。明确关键特征:指出 AI 忽略或误解的关键证据/特征。
提供正反例:如果可能,给出正确和错误的判断依据。假设 AI 将一次正常的运维操作误判为“已攻陷,以下分别是不推荐和推荐的例子:
❌无效的补充知识
✅有效的补充知识
这是个误报,是运维在操作。
当告警的源 IP 属于公司运维网段(10.0.0.0/8),且操作命令为
sudo ansible-playbook时,应判断为误报。因为这是标准的自动化运维发布行为。
指标说明
以下是衡量 AI 自动值守效能的核心指标定义与解读建议。
说明
以下计算口径为通用解读建议,具体数值以你所在系统的实际配置为准。
指标名称 | 定义 | 计算口径 | 解读建议 |
|---|---|---|---|
告警降噪率 | 在选定时间窗口内,被 AI 自动识别为噪声(如明显误报)或通过聚合去重后无需安全运营人员进一步处置的告警,占原始告警总数的比例。 |
| 该指标直接反映了 AI 为你节省的初步筛选工作量。比率越高,说明 AI 过滤噪音的能力越强。 |
聚合事件数 | AI 将具有相同攻击源、相同目标或属于同一攻击活动的不同告警,智能地聚合而成的结构化安全事件的数量。 | -- | 这个指标不追求绝对数量的大小,而是体现了 AI 从孤立告警中发现关联、还原攻击场景的能力。一个高质量的聚合事件远比上百个散乱的告警更有价值。 |
平均准确率 | 在所有被抽样进行人工复核的告警中,AI 的研判结论与人类专家的最终结论保持一致的比例。 |
| 这是衡量 AI 模型“智商”和可信度的核心指标。持续稳定的高准确率是实现“自动值守”的基石。 |
全自动闭环率 | 在所有告警中,从接收、研判到最终处置(如自动标记为误报并关闭,或根据策略自动执行封禁)完全由 AI 自动完成,无需任何人工点击或干预的告警所占的比例。 |
| 该指标衡量了端到端的自动化水平。高闭环率意味着运营流程的成熟度和效率达到了较高水平。 |
累计节约工时 | 通过将 AI 自动处理的告警数量乘以一个标准的“单个告警平均人工处理时长”,估算出的累计为团队节省的工作时间。 |
| 这是将技术效能转化为业务价值的最直观指标,便于向管理层展示安全技术投入的投资回报率。 |
响应时效提升 | 对比引入 AI 自动值守前后的平均告警响应时间(MTTR, Mean Time to Respond),计算出的时间缩短比例。 |
| 该指标量化了自动化带来的敏捷性提升,是衡量安全运营中心(SOC)应急响应能力的关键绩效指标。 |