You need to enable JavaScript to run this app.
导航
安全运营智能体
  • 文档首页
    • /安全运营智能体/快速入门/使用安全运营智能体快速进行告警研判
使用安全运营智能体快速进行告警研判
最近更新时间:2025.11.18 15:49:21首次发布时间:2025.06.20 15:54:38
复制全文
我的收藏
有用
有用
无用
无用

火山引擎安全运营智能体通过 AI 驱动的自动化分析引擎,为企业提供智能化的安全告警研判服务。适用于拥有多种异构安全产品、每日产生海量告警、希望从繁琐的人工研判中解放安全运营(SecOps)团队的业务场景。本文档将指导你完成从数据源对接到智能研判的全流程操作,实现以下核心功能:

  1. 多源数据整合:通过标准化接口接入各类安全产品告警日志。
  2. 智能分析研判:基于威胁情报和机器学习模型自动生成处置建议
  3. 持续优化闭环:通过人工反馈不断优化研判准确率。
  4. 深度威胁调查:通过 AI 对话式交互,对复杂告警进行深入分析和调查。

流程说明

Image

前提条件

步骤一 将告警数据接入安全运营智能体

安全运营智能体能够接入并研判来自多个安全产品厂商的日志信息。当前,你可以通过 Logstash 的固定端口采集数据,并将其推送至安全运营智能体进行告警分析。请按照以下指引,生成相应产品的配置文件,然后在 Logstash 的部署机器上执行命令完成数据推送。

  1. 登录火山引擎安全运营智能体控制台

  2. 在页面左侧导航栏,选择设置中心 > 数据接入

  3. 单击接入数据源

  4. 输入数据源基本信息。

    • 数据源名称:自定义接入的数据源名称,用于区分不同的数据源。例如华为云 DDoS 数据奇安信 WAF 数据等。
    • 厂商/产品:从列表中选择需要添加的厂商以及对应产品。

      说明

      如果列表中暂时没有你需要接入的产品,请联系技术服务人员

    • 密钥:自定义密钥,该密钥将用于你通过 Logstash 将数据推送到安全运营智能体服务时的身份验证。

  5. 单击确定,系统返回到数据接入页面。

  6. 单击数据源对应的下载配置文件,获取sec-intelligent.conf文件。

  7. sec-intelligent.conf文件放置在 Logstash 采集器部署机器的/etc/logstash/conf.d/路径下。

    说明

    如果你是使用已有的 Logstash 或自行安装 Logstash,则将该配置文件放置在对应的 Logstash 配置文件路径下即可。

  8. 在 Logstash 采集器部署机器上执行以下命令开始采集数据。

    systemctl start logstash.service

    注意

    如果你的采集服务器上配置了安全组,你需要配置入向规则,放行对应安全产品的 IP 源地址访问,以确保外部告警日志能够成功到达 Logstash 采集器进行处理。

  9. 执行以下命令检查启动状态。

    systemctl status logstash.service

    如果状态显示为active则说明启动成功,相关产品的告警日志数据会动态同步至 Logstash 服务器的指定端口上,然后通过 HTTP 方式将数据推送到安全运营智能体进行研判。
    Image

步骤二 安全运营智能体自动研判

产品数据成功接入安全运营智能体后,系统将自动开展告警事件的实时研判工作,整个过程无需人工干预。自动研判流程如下:

  1. 告警接收:系统自动接收业务告警信息,并即时创建对应的研判任务。
  2. 初步研判:系统提取告警中的威胁特征,与知识库进行匹配分析,同时结合威胁情报信息进行基础研判,形成初步结论。
  3. 交叉验证:基于完整的证据链,启动双引擎交叉验证机制,系统自主规划详细的调查路径。
  4. 结论生成:系统综合分析验证结果,生成最终研判结论,并提供具体可行的处置建议。

步骤三 确认研判结果并反馈知识

你可以随时登录安全运营智能体控制台,查看各类告警的详细推理过程、研判结论和行动建议。如果发现研判结果不符合预期,可以通过反馈知识的方式来强化安全运营智能体在对应攻击特征下的研判准确性。

  1. 登录火山引擎安全运营智能体控制台
  2. 在页面左侧导航栏,选择自动值守
  3. 筛选查看研判结果列表。
    默认展示重点关注列表,即研判结果为已攻陷、且处理状态为待人工决策的事件。
  4. 对告警研判结果进行反馈。
    • 反馈单个研判结果:单击告警事件对应的详情,可查看当前事件的详细研判结论、行动建议和推理过程,你可以直接并针对当前事件进行反馈。
      Image
    • 根据抽样反馈多个研判结果:平台会随机抽取 10 条告警事件,单击列表上方抽样反馈,可查看多个告警事件的研判结果并且进行批量反馈。
      Image

步骤四 深度分析告警事件

安全运营智能体支持通过 AI 对话式交互,为复杂告警提供更深入的分析和调查能力。如果你希望进一步了解某个告警的信息,例如告警相关的主机是否已经被攻陷,或是希望生成具体的安全事件报告,可以通过安全运营智能体进行深度分析。

  1. 登录火山引擎安全运营智能体控制台
  2. 在页面左侧导航栏,选择自动值守
  3. 筛选查看研判结果列表。
  4. 单击告警事件对应的深度调查
    Image
  5. 系统将自动带入告警基本信息,你可以在对话框中直接发起对话,或是选择调查模板,平台将自动生成相关分析指令。
    Image