平台架构
KYRA AI MDR 采用多层架构设计,专为企业级安全运营打造。每一层都针对其功能进行了专门设计,确保高吞吐量、安全的多租户隔离和智能威胁分析。
架构概览
flowchart TB
CUST["客户网络\nCollector Agent -- 安全出站 --> 采集网关"]
L1["第 1 层:采集与路由\n安全 API 网关 → 租户路由 → 事件流处理"]
L2["第 2 层:核心 SIEM 引擎\n检测规则、关联引擎、实时搜索、时间线"]
L3["第 3 层:AI 代理处理\nLLM 路由 → 3 个核心 AI 代理\n分类 → 调查 → 归因"]
L4["第 4 层:数据层\n租户隔离存储 + 分析 + 加密原始事件归档"]
L5["第 5 层:管理控制台\n租户隔离仪表板 + 实时告警 + PDF/CSV 报告"]
CUST --> L1 --> L2 --> L3 --> L4 --> L5
第 1 层:采集与路由
采集层接收来自客户网络和云环境中部署的收集器代理的安全事件。
能力:
- 从本地和云收集器进行安全加密的事件传输
- 自动识别和路由租户
- 按租户的速率限制和配额管理
- Schema 验证和事件规范化
- 支持日志、EDR 和网络流量数据源
吞吐量: 每个租户最高支持 2,000 EPS 的持续事件处理(PRO 等级)。CUSTOM 等级支持无限 EPS。
第 2 层:核心 SIEM 引擎
内置 SIEM 引擎提供检测、关联和搜索功能,无需外部 SIEM 集成。
能力:
- 包含数百条预置规则的检测规则库
- 跨多数据源的实时事件关联
- 支持可配置日期范围的全文时间线搜索
- 所有检测项映射到 MITRE ATT&CK 技术
- 自定义检测规则构建器(PRO 和 CUSTOM 等级)
租户隔离: 所有查询和检测均限定在已认证租户范围内。不可能进行跨租户数据访问。
第 3 层:AI 代理处理
三个核心 AI 代理提供自动化威胁分析、调查和报告功能。该框架设计为可扩展 — 随着平台发展可以添加更多专业代理。
核心代理
| 代理 | 功能 |
|---|---|
| 告警分类 | AI 驱动的告警分类,具有 99% 的误报过滤能力。自动按严重程度和业务影响排列告警优先级。 |
| 事件调查 | 跨日志源的相关事件自动关联。构建事件时间线并识别根本原因。 |
| 内容生成 | 从安全数据生成高管报告、事件摘要和合规文档。 |
可扩展框架
AI 代理架构基于 LangChain4j 构建,支持添加威胁狩猎、取证分析、合规审计等专业代理。平台根据复杂度将分析任务路由到适当的 AI 模型层级 — 轻量模型处理大量分类任务,高级模型专门用于复杂调查。
当前状态: 3 个核心代理已投入运行。该框架支持随着检测能力的扩展添加更多代理。
第 4 层:数据层
数据层提供安全的、租户隔离的分层保留策略存储。
| 存储类型 | 用途 | 保留期 |
|---|---|---|
| 热存储 | 活跃告警、近期事件、实时搜索 | 7-30 天 |
| 温存储 | 历史分析、合规报告 | 最长 2 年 |
| 冷存储 | 长期合规保留 | 最长 7 年 |
所有数据使用客户管理的加密密钥进行静态加密。数据驻留选项支持区域合规要求。
第 5 层:管理控制台
基于 Web 的管理控制台为安全运营提供统一界面。
功能:
- 基于严重等级优先排序的实时告警仪表板
- 事件生命周期管理,包含任务跟踪和协作
- 资产清单,包含风险评分和漏洞跟踪
- 合规态势仪表板,支持自动化证据收集
- 高管和合规报告生成(PDF/CSV)
- 通过 WebSocket 推送的实时通知
多租户隔离
平台的每个方面都强制执行严格的租户隔离:
- 数据隔离:每个租户独立的数据分区,采用行级别强制执行
- 认证:基于 JWT 的认证,包含租户范围的声明
- 授权:基于角色的访问控制(管理员、分析师、查看者)
- 网络:加密通信与双向认证
- 存储:每个租户独立加密,使用客户管理的密钥
- 搜索:所有查询自动限定在已认证租户范围内
威胁情报集成
平台集成了领先的威胁情报源:
| 数据源 | 能力 |
|---|---|
| VirusTotal | 恶意软件哈希和 URL 分析 |
| Shodan | 互联网暴露资产发现 |
| MISP | 社区 IOC 共享 |
| Recorded Future | APT 情报和攻击活动跟踪 |
| NVD / ExploitDB | CVE 数据和漏洞利用信息 |
| Abuse.ch | 僵尸网络和勒索软件 C2 跟踪 |
事件处理流程
- 收集 — 收集器代理从客户网络和云环境收集安全事件
- 采集 — 事件经过验证、规范化后路由到相应的租户管道
- 检测 — SIEM 引擎应用检测规则和关联逻辑
- AI 分析 — 专业代理分析告警,进行上下文丰富、增强和优先排序
- 响应 — 自动化 Playbook 执行遏制和响应操作
- 报告 — 结果在管理控制台和报告中呈现
数据保留等级
| 等级 | 日志保留期 |
|---|---|
| FREE | 7 天 |
| MDR | 90 天 |
| PRO | 180 天 |
| CUSTOM | 365+ 天 |