应急协同
统一输入任务、附件材料、模型设置和 Agent 状态,让多角色协作有共同入口。
Incident Response Platform
统一上下文资产、服务、代码、依赖、日志、身份与网络证据进入同一对象模型。
证据链工具回执、文件快照、样本哈希、动作记录都可回看。
受控动作高风险处置绑定授权边界、预检、审批和回滚依据。
评测闭环以真实蓝队场景倒逼连接器、Agent 能力和前端视图。
能力结构
不是单点工具,而是应急现场的协同控制台
应枢把“是否被攻击、是否已入侵、证据在哪里、下一步如何确认和恢复”拆成可执行、可审计的任务链。
事件中心
由 Agent 研判形成事件队列、事件脉络、证据对象和动作确认。
响应编排
呈现 Agent 链路、上下游关系、工作状态和权限边界,避免黑箱式自动化。
产品界面
把事件、证据和动作放进同一个现场视图
页面不只展示结论,而是让监控 Agent、流量 Agent、进程 Agent 等各自承担清晰上下游职责。
部署流程
先确认授权边界,再接入现场流程
- Step 01建立资产与角色边界明确允许采集的主机、日志源、动作类型和审批角色。
- Step 02接入证据与工具契约让日志、主机、BLA、检测规则、响应连接器写入统一证据链。
- Step 03固化复测与报告标准把能力评分、缺口清单、处置闭环和管理视图沉淀下来。