智能安全问答
场景说明
安全从业者在日常工作中需要处理大量告警,快速分析、研判和处置安全事件。然而,传统的工作流程往往涉及多个工具和平台,查询信息的过程繁琐且低效。XGPT安全大模型提供了一个智能安全问答接口,帮助用户高效整合情报来源,减少跨平台切换,提高分析决策的速度。通过自然语言交互,快速解析安全问题,为用户提供精准的情报和深度解读,从而优化安全运营流程,提升整体工作效率。
同时,在企业环境中,分散的工具和不统一的查询渠道常常导致信息流通效率低下。通过将XGPT API集成到企业本地IM系统(如企业微信、钉钉)中,可将智能问答能力无缝嵌入员工日常工作流,简化复杂问题的查询流程,让员工无需切换工具即可快速获取所需信息,从而提升效率。
智能安全问答的应用场景包括但不限于:
-
威胁情报分析:通过提问获取关于特定IP、域名、文件哈希等情报信息。
-
安全事件溯源:快速找到攻击者相关的身份背景、UA等信息。
-
漏洞分析:了解特定漏洞的利用方式、影响范围及缓解措施。
-
安全知识问答:根据输入的安全问题,提供知识解读和安全建议。
使用的XGPT API
https://x.threatbook.com/v5/apiDocs/xgpt/completion
核心字段
message:输入对话信息,其中content为提问内容。
choices: 包含回答内容的主要字段,其中content为回答内容。
具体使用方法
使用步骤说明
- 配置API集成:根据具体场景,选择合适的集成方式,例如:
-
在企业微信、钉钉等内部沟通工具中搭建企业内部的机器人应用,集成XGPT API,支持用户随时提问获取安全答案。
-
在SIEM/SOC中集成XGPT API,进行日志解读、威胁分析和情报解读,协助用户告警研判,并提供后续的处置建议。
- 调用API:用户通过集成的系统,支持直接提问或设置预定义的prompt模板,结合用户输入内容动态拼接,用于特定场景下的问答。例如:
-
直接提问:
- 在企业微信中输入"某个IP是否存在已知威胁?"
-
使用预定义模板:
- 模板示例1:用户选择"命令行分析"功能,输入具体命令行内容,系统会将其与模板"请解读如下命令行,总结该命令行的用途和执行结果,详细解释命令行的执行过程:<命令行内容>"拼接后发送。
2. 调用API:
-
XGPT API的调用方式主要分为两种:
-
用户提问,例如:
-
直接提问: 在企业微信中输入"某个IP是否存在已知威胁?"
-
使用预定义模板: 例如用户选择"命令行分析"功能,输入具体命令行内容,系统将其与模板拼接后发送,例如:"请解读如下命令行,总结该命令行的用途和执行结果,详细解释命令行的执行过程:<命令行内容>"。
-
-
用户通过操作触发API调用,例如:
-
在告警详情页点击分析按钮,触发API请求,让XGPT解读告警日志,并提供分析结果和处置建议。
-
自动触发调用,例如系统在检测到高危告警时,自动将相关日志或威胁情报发送至XGPT分析,并在告警工单中附加解读信息。
-
-
3. 获取返回:
XGPT API返回的结果,会根据调用方式在不同的集成系统中展示给用户:
-
IM工具(如企业微信、钉钉): 直接在聊天窗口返回答案
-
SIEM/SOC等安全运营系统通过操作/自动触发返回内容,例如:
-
在告警页面中展示分析结果,辅助安全分析师快速判断威胁。
-
自动触发通知,例如当XGPT分析出严重威胁时,系统可通过邮件、IM通知相关人员。
-
小技巧
-
合理设置超时时间:XGPT 需要一定的时间来解析和处理复杂的安全问题,建议 API 调用时适当延长超时时间(建议设置 30 秒以上),避免因短时间超时导致请求失败。
-
不建议一次性并发调用大量请求,以免影响响应速度和稳定性。对于批量查询,可采用队列处理或分批调用的方式。
-
确保调用范围仅限安全问题:XGPT 主要用于网络安全领域,不回答与安全无关的问题。因此,建议在调用前对用户输入进行预过滤,避免发送无关请求,提高 API 调用效率。
-
数据隐私与安全:调用XGPT API 会将问题中的内容发送到微步在线云服务中,微步在线承诺不会将您的数据上传至第三方,但如果您的企业有更严格的数据安全需求,可在集成时使用数据脱敏策略,如去除企业内部敏感信息后再发送请求。
联系我们:api@threatbook.cn