## 工作流概述
这个工作流充当自动化的安全运营中心(SOC)分析师。它从安全工具接收警报,使用**NixGuard的AI**进行分析和优先级排序,然后根据AI分配的优先级将警报路由到正确的**Slack**频道。
**使用场景:** 通过自动区分需要立即关注的关键威胁和可以稍后查看的信息性日志,消除警报疲劳。
## 工作原理
### 1. 数据摄取与过滤
工作流按计划运行(每天上午8点),获取所有最近的安全警报。首先执行基本过滤,隔离达到最低严重性阈值(例如7级以上)的事件。
### 2. AI分析与优先级排序
聚合的高严重性警报随后发送给AI,使用特定提示要求其分析情况并返回包含单个整体优先级(关键、高、信息)和简明摘要的结构化JSON对象。
### 3. 智能路由
Switch节点读取AI分配的优先级,并将通知路由到适当的目的地:
– 关键警报发送到 #security-incident-response 频道
– 高优先级警报发送到 #security-investigations 频道
– 信息性警报发送到 #security-logs 频道
## 主要功能与优势
– **消除警报疲劳**:通过AI预处理和分类警报,大幅减少噪音
– **自动化SOC一级分类**:将人工分析师从重复的分类任务中解放出来,专注于高价值调查和威胁狩猎
– **更快的应急响应**:实时将关键警报路由给合适的人员,减少关键响应时间
– **一致的优先级排序**:使用AI确保24/7一致、无偏见的警报优先级排序方法
– **智能路由逻辑**:超越简单的关键词匹配,基于AI评估的严重性将警报传递给最擅长处理它们的团队
## 目标用户
– 寻求自动化警报分类和应急响应工作流的SOC分析师和安全工程师
– 希望构建更高效、自动化安全运营管道的SecOps和DevOps团队
– 旨在提高团队效率并降低错过关键警报风险的IT经理和总监
– 使用Wazuh、SIEM或其他生成大量警报的安全工具的任何用户
## 技术节点
工作流包含以下关键节点:
– Schedule Trigger:定时触发工作流
– Set:设置API密钥和提示
– Execute Workflow:执行子工作流获取安全事件
– Code:解析AI响应和处理警报数据
– If:条件判断和过滤
– Aggregate:聚合警报数据
– Switch:基于优先级的路由
– Slack:发送通知到不同频道
停止手动分类警报。安装此工作流,构建自己的AI驱动安全自动化平台,让团队专注于最重要的事情。
评论(0)