这是一个智能安全监控工作流,通过NixGuard AI自动分析24小时内的安全警报,并根据优先级将警报路由到相应的Slack频道。
## 工作流程概述
该工作流充当自动化SOC分析师的角色,它接收来自NixGuard的安全警报,使用AI进行分析和优先级排序,然后根据AI分配的优先级将警报路由到正确的Slack频道。
**使用场景:** 通过自动区分需要立即关注的关键威胁和可以稍后查看的信息性日志,消除警报疲劳。
## 工作流程详解
### 1. 定时触发
– **Run Daily at 8 AM**:每天早上8点自动触发工作流执行
### 2. 数据获取与处理
– **Set API Key & Initial Prompt**:配置NixGuard API密钥和初始查询提示
– **Execute: Get Daily Events as JSON**:执行子工作流获取24小时内的安全事件数据
– **Parse Alert Array**:解析AI返回的警报数组数据
### 3. 警报过滤与分析
– **If**:检查是否存在有效的警报数据
– **Edit Fields**:提取警报数据字段
– **Parse & Split Alerts**:解析并拆分警报数据
– **Filter for Important Alerts (Level > 7)**:过滤重要性级别大于7的关键警报
### 4. AI智能分析
– **Aggregate**:聚合所有重要警报数据
– **Set Prompt for Summary**:设置AI分析提示,要求生成安全风险摘要
– **Execute: Generate Slack Message**:执行子工作流生成Slack消息
– **Parse AI JSON Response**:解析AI返回的JSON响应
### 5. 优先级分类与通知
– **Extract AI Priority & Summary**:提取AI分配的优先级和摘要信息
– **Switch**:根据优先级分类路由到不同的Slack频道
– **Critical**:关键警报
– **High**:高优先级警报
– **Info/Low**:信息性/低优先级警报
## 技术特点
– **智能优先级排序**:AI自动评估安全威胁的严重程度
– **多频道通知**:根据优先级将警报发送到不同的Slack频道
– **自动化处理**:完全自动化,无需人工干预
– **JSON数据解析**:强大的数据解析和处理能力
## 适用场景
– 企业安全运营中心(SOC)
– 网络安全监控团队
– 需要自动化安全警报处理的组织
– 希望减少警报疲劳的安全团队
评论(0)