事件响应
事件响应 AI 在整个事件生命周期中提供智能自动化和指导 — 从初始分类到遏制、修复和事后分析。
主要功能
- 自动化分类:AI 驱动的事件严重等级评估和分类
- 动态 Playbook:基于事件类型和严重等级的上下文感知响应 Playbook 生成
- 证据管理:带有监管链跟踪的自动化证据收集
- 遏制指导:基于威胁分析的推荐遏制操作
- 协作:自动化利益相关者通知和沟通模板
- 经验教训:事后分析和推荐的安全改进
事件生命周期
1. 分类
当事件被创建时(手动或从升级的告警),AI 将:
- 基于指标和业务影响评估严重等级
- 识别攻击类型并映射到 MITRE ATT&CK
- 确定受影响资产和潜在影响范围
- 推荐初始响应优先级
2. 调查
在活跃调查期间:
- 建议要检查的相关数据源
- 跨时间线关联相关告警和事件
- 识别入侵指标(IOC)
- 提供来自威胁情报的上下文分析
3. 遏制(MDR、PRO 和 CUSTOM 等级)
对于确认的威胁:
- 基于威胁类型推荐遏制操作
- 生成隔离和阻止建议
- 监控持久化机制
- 验证遏制有效性
4. 恢复
遏制后:
- 提供修复检查清单
- 推荐系统恢复步骤
- 建议添加预防性控制
- 跟踪修复进度
5. 事后
解决后:
- 生成全面的事件报告
- 识别检测和响应中的差距
- 推荐检测规则改进
- 创建知识库条目供未来参考
服务等级能力
| 能力 | FREE | MDR | PRO | CUSTOM |
|---|---|---|---|---|
| 告警文档 | 是 | 是 | 是 | 是 |
| 主动响应 | 否 | 是 | 是 | 是 |
| 遏制 | 否 | 是 | 是 + 高级 | 完全可定制 |
| 自定义 Playbook | 否 | 否 | 是 | 是 |
| 专属响应 | 否 | 否 | 4 小时 SLA | 1 小时 SLA |