将安全运营智能体与飞书应用机器人集成，即可通过飞书群聊的方式直接触发告警事件分析、接收研判结果、自动通知、快速查看详情和标记事件状态等能力。该集成能力可帮助安全运营人员快速响应、处理和分析安全事件。

集成效果 #

集成后您可以在飞书群聊中完成以下操作：

• 接收智能体推送的告警研判结果与处置建议：安全运营智能体会以卡片形式自动推送指定类型的告警事件到飞书群群组内，并提供给调查结论、关键发现、处置建议等内容。
  
• 快速标记告警事件处置状态：确认事件已经处置完成后，可直接单击卡片按钮，更新事件状态。
  
  该事件状态将切换成已处理。
  

前提条件 #

已开通并可正常使用安全运营智能体。

步骤 1：创建飞书应用机器人 #

本步骤将指导您在飞书开放平台完成应用的创建、权限配置和事件订阅，并获取后续集成所需的关键凭证。

1 创建企业自建应用 #

1. 登录飞书开发者后台，单击创建企业自建应用。
   
2. 配置应用名称、描述及图标。
   
3. 单击创建。

2 添加机器人能力与权限 #

1. 在左侧导航栏，选择应用能力 > 添加应用能力。

2. 在按能力添加页签下，单击机器人能力卡片的添加按钮。
   

3. 在左侧导航栏，选择开发配置 > 权限管理。

4. 单击批量导入/导出权限。
   

5. 在导入页签下，将以下 JSON 内容粘贴进去，以覆盖默认权限配置。

   说明

   这些权限用于允许机器人读写消息、响应卡片交互和获取基础的用户信息。更多权限详情可查看飞书API权限列表。

   {
     "scopes": {
       "tenant": [
         "cardkit:card:read",
         "cardkit:card:write",
         "contact:contact.base:readonly",
         "contact:user.base:readonly",
         "contact:user.employee_id:readonly",
         "im:chat:create",
         "im:chat:read",
         "im:message.group_at_msg:readonly",
         "im:message:readonly",
         "im:message:send_as_bot",
         "im:message:update"
       ],
       "user": [
         "im:message:readonly"
       ]
     }
   }
   

   

6. 单击下一步，确认新增权限。

7. 确认权限无误后，单击申请开通。
   开通后，默认权限与可访问的数据范围一致。
   

8. 单击确认保存权限配置。

3 配置事件与回调 #

事件配置用于向飞书开放平台发送事件，确保告警信息能够同步到指定的飞书群内；而回调配置则用于接收飞书开放平台的消息，例如用户点击卡片按钮时，将用户行为传递给指定地址。

1. 在左侧导航栏，选择开发配置 > 事件与回调。
2. 在事件配置页签下，配置事件参数。
   • 订阅方式：选择将事件发送至开发者服务器。
   • 请求地址：填写产品提供的固定 URL 地址http://sd2o5hba43dfvcaut8mc0.apigateway-cn-beijing.volceapi.com/bot/v1/app_bot/callback。
   • 添加事件：单击添加事件，搜索接收消息事件并确认添加。
     
3. 切换到回调配置页签，配置回调参数。
   • 订阅方式：选择将事件发送至开发者服务器。
   • 请求地址：填写产品提供的固定 URL 地址http://sd2o5hba43dfvcaut8mc0.apigateway-cn-beijing.volceapi.com/bot/v1/app_bot/callback。
   • 添加事件：单击添加事件，搜索卡片回传交互并确认添加。
     

4 获取应用凭证 #

1. 在左侧导航栏，选择基础信息 > 凭证与基础信息。
2. 在应用凭证模块中，复制 App ID 和 App Secret 信息。
   
3. （可选）如果需要在飞书中校验请求内容来源，可将飞书应用的加密策略信息配置到安全运营智能体中。
   1. 在左侧导航栏，选择开发配置 > 事件与回调。
   2. 选择加密策略页签，复制 Verification Token 信息。
      

5 发布应用 #

1. 单击顶部的创建版本。
   
2. 按需配置应用版本号和更新说明。
   默认能力可保持默认值，其他详细配置可参考发布与审核自建应用。
   
3. 单击页面底部的保存，创建版本。
4. 单击页面右上角确认发布，完成应用发布。
   

步骤 2：将机器人添加到飞书群组中并获取群组 ID #

发布应用后，您需要将其添加到目标飞书群组中，以获取推送信息。

1. 打开需要添加机器人的飞书群组对话框。
2. 按如下方式进入群组设置。
   
3. 选择群机器人，单击添加机器人。
4. 搜索步骤 1：创建飞书应用机器人创建的机器人名称，将其添加到当前群组中。
   
5. 进入群组设置，将列表拉至底部，复制会话 ID。
   该 ID 将用于安全运营智能体识别需要关联的飞书群组。
   

步骤 3：在安全运营智能体控制台添加机器人 #

最后，回到安全运营智能体控制台，将您在飞书平台获取的信息填入，完成最终的集成配置。

1. 登录火山引擎安全运营智能体控制台。
2. 在左侧导航栏，选择设置。
3. 在通知设置页签下，单击添加通知机器人。
   
4. 配置机器人参数。
   • 通知平台：选择飞书。
   • 群 ID：填写步骤 2：将机器人添加到飞书群组中并获取群组 ID获取的飞书群组 ID。
   • 机器人类型：选择应用机器人。
   • 机器人名称：填写步骤 1：创建飞书应用机器人创建的机器人名称。
   • App ID/App Secret/Verification Token：填写步骤 3：在安全运营智能体控制台添加机器人获取的相关信息。其中 Verification Token 为可选参数。
   • 通知平台：根据需要，勾选希望接收通知的研判结果类型。
     
5. 单击发送测试通知。
   飞书群组将收到一条测试消息。
   
6. 确认测试成功后，单击确定保存配置。
   您添加的应用机器人会展示在通知设置的列表中并且为启用状态。
   

效果演示 #

添加成功后，如果安全智能体产生告警研判事件，则会通过飞书群聊机器人发送告警事件卡片。

• 多轮对话：直接回复卡片消息，可以围绕当前事件进行多轮对话。
• 处理告警：您可以直接在卡片上标记告警事件处置状态，也可以单击查看详情前往安全运营智能体控制台查看详细的分析结果。