火山引擎安全智能体通过 AI 驱动的自动化分析引擎，为企业提供智能化的安全告警研判服务。本指南将指导你完成从数据源对接到智能研判的全流程操作，实现以下核心功能：

1. 多源数据整合：通过标准化接口接入各类安全产品告警日志。
2. 智能分析研判：基于威胁情报和机器学习模型自动生成处置建议
3. 持续优化闭环：通过人工反馈不断优化研判准确率。

流程说明

前提条件

• 你已安装 Logstash 采集器，安装相关操作请参见安装 Logstash 采集器。
• 你已购买火山引擎安全智能体服务，购买相关操作请参见购买安全智能体实例。

步骤一 将告警数据接入安全智能体

安全智能体能够接入并研判来自多个安全产品厂商的日志信息。当前，你可以通过 Logstash 的固定端口采集数据，并将其推送至安全智能体进行告警分析。请按照以下指引，生成相应产品的配置文件，然后在 Logstash 的部署机器上执行命令完成数据推送。

1. 登录火山引擎安全智能体控制台。

2. 在页面左侧导航栏，选择设置中心 > 数据接入。

3. 单击接入数据源。

   

4. 输入数据源基本信息。

   • 数据源名称：自定义接入的数据源名称，用于区分不同的数据源。例如华为云 DDoS 数据，奇安信 WAF 数据等。
   • 厂商/产品：从列表中选择需要添加的厂商以及对应产品。

     说明

     如果列表中暂时没有你需要接入的产品，请联系技术服务人员。

   • 密钥：自定义密钥，该密钥将用于你通过 Logstash 将数据推送到安全智能体服务时的身份验证。
     

5. 单击确定，系统返回到数据接入页面。

6. 单击数据源对应的下载配置文件，获取sec-intelligent.conf文件。

   

7. 将sec-intelligent.conf文件放置在 Logstash 采集器部署机器的/etc/logstash/conf.d/路径下。

   说明

   如果你是使用已有的 Logstash 或自行安装 Logstash，则将该配置文件放置在对应的 Logstash 配置文件路径下即可。

8. 在 Logstash 采集器部署机器上执行以下命令开始采集数据。

   systemctl start logstash.service
   

   注意

   如果你的采集服务器上配置了安全组，你需要配置入向规则，放行对应安全产品的 IP 源地址访问。

9. 执行以下命令检查启动状态。

   systemctl status logstash.service
   

   如果状态显示为active则说明启动成功，相关产品的告警日志数据会动态同步至 Logstash 服务器的指定端口上，然后通过 HTTP 方式将数据推送到安全智能体进行研判。
   

步骤二 安全智能体自动研判

产品数据成功接入安全智能体后，系统将自动开展告警事件的实时研判工作，整个过程无需人工干预。自动研判流程如下：

1. 告警接收：系统自动接收业务告警信息，并即时创建对应的研判任务。
2. 初步研判：系统提取告警中的威胁特征，与知识库进行匹配分析，同时结合威胁情报信息进行基础研判，形成初步结论。
3. 交叉验证：基于完整的证据链，启动双引擎交叉验证机制，系统自主规划详细的调查路径。
4. 结论生成：系统综合分析验证结果，生成最终研判结论，并提供具体可行的处置建议。

步骤三 确认研判结果

你可以随时登录安全智能体控制台，查看各类告警的详细推理过程、研判结论和行动建议。如果发现研判结果不符合预期，可以通过反馈知识的方式来强化安全智能体在对应攻击特征下的研判准确性。

1. 登录火山引擎安全智能体控制台。

2. 在页面左侧导航栏，选择告警研判中心。

3. 筛选查看研判结果列表。
   默认展示重点关注列表，即研判结果为已攻陷、且处理状态为待人工决策的事件。

   

4. 单击对应告警的研判详情，可查看详细研判结论、行动建议和推理过程。

5. 如果确认当前研判结论不准确，可单击详情右上角知识反馈提交正确信息。