AI 安全能力
KYRA AI MDR 在整个安全运营工作流中集成了先进的 AI 能力,提供自动化分析、调查协助和主动威胁检测。
概述
平台部署 3 个核心 AI 代理,分别专注于关键安全领域:告警分类、事件响应和威胁狩猎。该框架可扩展 — 随着平台发展可以添加更多专业代理。这些代理协同工作,分析告警、调查事件、狩猎威胁并提供可操作情报 — 减少分析师工作负载并加速响应时间。
AI 代理角色
| 代理 | 功能 |
|---|---|
| 威胁猎人 | IOC 模式识别、MITRE ATT&CK 技术映射、主动搜索 |
| OSINT 调查员 | 外部情报收集、域名/IP 丰富、信誉检查 |
| 事件响应者 | Playbook 执行、证据收集、遏制建议 |
| 漏洞研究员 | 暴露扫描、补丁优先级排序、利用风险评估 |
| 取证分析师 | 时间线重建、根本原因分析、证据检查 |
| 合规审计员 | 法规映射、证据链、合规缺口识别 |
| 恶意软件分析师 | 静态/动态分析协调、沙箱集成、行为分类 |
| 暗网监控 | 地下论坛跟踪、泄露告警、凭据暴露监控 |
| 战略情报 | 攻击活动跟踪、APT 归因、地缘政治威胁背景 |
| 网络侦探 | 横向移动检测、C2 模式识别、网络取证 |
| 身份调查员 | 用户/实体行为分析、权限提升检测、内部威胁识别 |
| 威胁研究主管 | 多代理调查协调、跨域分析协调 |
AI 分析工作原理
成本优化的模型路由
平台智能地将分析任务路由到适当的 AI 模型层级:
| 任务类型 | 模型层级 | 用途 |
|---|---|---|
| 分类 | 轻量级 | 大量告警分类、严重等级评分、误报过滤 |
| 调查 | 标准 | 告警丰富、上下文分析、模式匹配、IOC 关联 |
| 归因 | 高级 | APT 攻击活动归因、复杂事件分析、高管威胁简报 |
这种分层方法保持成本可预测,同时确保复杂威胁得到深度分析。
代理记忆
AI 代理在调查中维护上下文:
- 短期:当前调查上下文,自动过期
- 工作记忆:每个事件的案例文件和证据材料
- 长期:威胁情报模式、IOC 关系、历史攻击上下文
- 集体记忆:跨代理共享的协调调查发现
集成点
数据源
AI 代理分析来自所有连接源的数据:
- 日志收集器事件(防火墙、EDR、syslog、Windows 事件)
- NDR 网络检测
- 云传感器告警
- 第三方连接器数据(Splunk、CrowdStrike、Elastic)
- 外部威胁情报源
输出
- 丰富的告警上下文和严重等级调整
- 调查时间线和根本原因分析
- 自动化 Playbook 建议
- 合规证据映射
- 高管级威胁报告
威胁情报集成
AI 代理利用多个威胁情报源:
| 数据源 | 使用者 |
|---|---|
| VirusTotal | 恶意软件分析师 |
| Shodan | OSINT 调查员 |
| MISP(社区 IOC) | 战略情报 |
| Recorded Future | 战略情报 |
| NVD / ExploitDB | 漏洞研究员 |
| Abuse.ch | 威胁猎人 |
跨代理协调
对于复杂事件,威胁研究主管协调多代理调查:
- 初始分类 — 告警分类代理确定严重等级并识别相关领域
- 并行分析 — 专业代理同时调查(威胁猎人 + OSINT + 网络侦探)
- 发现综合 — 研究主管汇总跨代理的发现
- 响应建议 — 事件响应者生成遏制和修复步骤
- 文档 — 合规审计员将发现映射到法规要求
这种协调方法确保复杂威胁从各个角度分析,而无需分析师手动编排。