如何利用 AI 代理和 Confluence SOP 实现警报分类自动化

Tines 库由工作流编排和人工智能平台 Tines 团队运营，包含来自整个社区的安全从业人员共享的 1,000 多个预建工作流 - 所有这些都可以通过平台的社区版免费导入和部署。

我们重点介绍的工作流程通过自动识别并执行 Confluence 中相应的标准操作程序 (SOP) 来简化安全警报处理。当警报触发时，AI 代理会对其进行分析，找到相关的 SOP，并执行所需的补救步骤——同时通过 Slack 向值班团队通报情况。

它是由 Tines 的安全研究员 L2 Michael Tolan 和 Tines 的高级解决方案工程师 Peter Wrenn 创建的。

在本指南中，我们将分享工作流程的概述以及如何启动和运行的分步说明。

问题——手动警报分类和 SOP 执行#
对于安全团队来说，有效响应警报需要快速识别威胁类型、找到适当的 SOP 并执行所需的补救步骤。

从工作流程的角度来看，团队通常必须：

手动分析传入的安全警报
通过 Confluence 搜索相关的 SOP
在案例管理系统中记录调查结果和行动
跨不同的安全工具执行多个补救步骤
事后再次更新案件管理系统
通知利益相关者有关事件和采取的行动
这个手动过程非常耗时，容易出现人为错误，并且可能导致对类似警报的处理不一致。

解决方案——人工智能警报分类，自动执行 SOP#
此预构建工作流利用 AI 代理和 Confluence SOP，实现整个警报分类流程的自动化。该工作流通过以下方式帮助安全团队更快、更一致地响应：

使用人工智能分析和分类传入警报
在 Confluence 中自动定位相关 SOP
创建结构化案例记录以进行跟踪
部署第二个 AI 代理（子代理）来执行补救步骤
记录所有操作并通过 Slack 通知值班团队
其结果是简化了对安全警报的响应，确保按照既定程序进行一致的处理。

此工作流程的主要优点#
减少平均修复时间（MTTR）
一致应用安全程序
全面记录所有采取的行动
减少分析师因重复性任务而产生的疲劳
通过自动通知提高可见性
工作流概述#
使用的工具：#
Tines - 工作流程编排和人工智能平台（提供免费社区版）
Confluence——SOP 知识管理平台
此特定工作流程还使用了以下软件。但是，除了 Tines 和 Confluence 之外，您还可以使用技术栈中现有的任何增强/修复工具。

CrowdStrike——威胁情报和 EDR 平台
AbuseIPDB——IP信誉数据库
EmailRep——电子邮件信誉服务
Okta——身份和访问管理
Slack——团队协作平台
Tavily——人工智能研究工具
URLScan.io——URL分析服务
VirusTotal - 文件和 URL 扫描服务
工作原理#
第 1 部分：警报提取和分析#
从集成安全工具接收安全警报
AI 代理分析警报以确定类型和严重程度
系统根据警报分类在 Confluence 中搜索相关的 SOP
创建包含警报详细信息和已确定的 SOP 的案例记录
第 2 部分：补救措施和文档#
第二位AI代理审查案件和SOP指令
AI代理通过适当的安全工具协调补救措施
所有行动均记录在案
Slack 通知将发送给值班团队，其中包含警报详细信息和采取的措施
配置工作流程 - 分步指南#
1. 登录 Tines 或创建新帐户。


2. 导航到库中预建的工作流。选择“导入”。


3. 设置您的凭证#

您需要此工作流程中使用的所有工具的凭据。您可以根据自己的环境添加或删除任何工具。

合流
CrowdStrike
滥用IPDB
电子邮件代表
奥克塔
松弛
塔维利
URLScan.io
VirusTotal
在凭证页面，选择“新建凭证”，向下滚动到相关凭证并填写必填字段。如需帮助，请参考explained.tines.com上的凭证指南。

4. 配置您的操作。#
设置环境变量。在这个特定的工作流程中，需要设置用于通知的 Slack 频道（默认硬编码为 #alerts，但可以在 Slack 操作中进行调整）。

5.自定义AI提示#
该工作流程包括两个关键的AI代理：

警报分析代理：自定义提示以帮助识别警报类型
修复代理：自定义提示以指导修复操作
6. 测试工作流程。#
创建测试警报来验证：

警报已正确分类
从 Confluence 中检索正确的 SOP
已创建案例，包含适当的详细信息
执行补救措施
Slack 通知已发送
7. 发布并实施#
测试完成后，发布工作流程并与您的安全工具集成以开始接收实时警报。

如果您想测试此工作流程，您可以注册一个免费的 Tines 帐户。