设备管理
设备管理对应 WebUI 中的 数据源与设备 页面,用于统一管理安全设备和数据源接入能力。它把一个设备或数据源拆成三个维度维护:API 接入、web2cli 动作和设备 Skill。
1. 功能定位
1.1 设备管理解决什么问题
设备管理回答的是"Flocks 如何连接企业里的安全设备和数据源"。它不只记录设备清单,还关注设备能被平台如何使用。
一个设备或数据源通常需要维护:
- 基础信息:实例名称、厂商、产品、版本、部署位置。
- 健康状态:在线、异常、未配置。
- 最近同步时间和连通性检测结果。
- API 接入能力。
- web2cli 页面动作能力。
- 设备 Skill 和默认 Workflow 绑定。
1.2 三个能力维度
| 维度 | 说明 | 适合 |
|---|---|---|
| 设备 API 接入 | 通过接口访问告警、资产、健康状态、规则、证据等数据。 | 有稳定 API 或能沉淀 API 的设备。 |
| 设备 web2cli | 把网页控制台里的操作录制或转换成可执行动作。 | 只有 Web 管理台、API 不完整的设备。 |
| 设备 Skill | 沉淀设备巡检、字段解释、告警研判和操作规范。 | 需要团队经验和判断标准的设备场景。 |
2. 页面结构
设备管理页面通常包括:
- 已接入总数、在线数、异常数、未配置数。
- 数据源 / 设备筛选。
- API、web2cli、设备 Skill 三个维度筛选。
- 数据源列表,展示类型、实例、厂商产品、位置、状态、版本、同步时间、连通性和三维能力状态。
- 接入向导。
- 能力映射表,展示支持对象和默认 Workflow。
页面标题在产品中显示为"数据源与设备",导航中可以理解为设备管理。
3. 接入流程
3.1 选择类型
先确定接入对象类型,例如:
- 防火墙。
- NDR。
- HIDS。
- SIEM。
- 威胁情报。
- 资产系统。
- 工单系统。
3.2 填写地址与凭证
根据设备类型填写 endpoint、Token、AK/SK、Secret 或账号凭证。敏感凭据建议通过密钥引用方式管理,不要写入 Prompt、脚本或公开文档。
3.3 测试连接
接入后应执行连通性检测,确认:
- 网络可达。
- 凭证有效。
- 版本兼容。
- 返回字段能被工具、Agent 或 Workflow 消费。
3.4 选择能力
根据设备条件选择能力:
- API 完整时,优先做 API 工具。
- API 不完整但 Web 管理台可操作时,补充 web2cli。
- 巡检和研判方法稳定后,沉淀设备 Skill。
- 流程稳定后,绑定默认 Workflow。
3.5 关联编排
设备能力可以进一步绑定到:
- 工具清单:维护 API 工具和 MCP 工具。
- Skills 技能库:维护设备使用方法和巡检规范。
- Workflow 工作流:绑定固定流程。
- 任务中心:配置周期巡检或长期运行。
4. 使用建议
4.1 API 优先,web2cli 补位
如果设备提供稳定 API,优先通过 API 工具接入。API 更适合长期运行、定时任务和批量处理。
当 API 不完整、网页控制台能力更丰富时,可以用 web2cli 把关键页面动作沉淀成可执行能力,例如查看 License 到期、规则命中详情、设备健康页面等。
4.2 设备 Skill 用来沉淀经验
设备 Skill 不等同于 Skills 页面里的完整技能管理入口,但它代表这个设备已经有对应的方法论资产。适合写入:
- 巡检项。
- 字段解释。
- 健康判断标准。
- 常见异常处理建议。
- 设备版本差异。
4.3 与 SOC 设备巡检衔接
设备管理负责接入和能力状态,SOC 设备巡检负责查看巡检运行结果。接入完成后,可以去 SOC 设备巡检页面查看设备巡检报告和运行结果。
5. 相关模块
- 工具清单:维护设备 API 工具和 MCP 能力。
- Skills 技能库:维护设备方法论和巡检规范。
- Workflow 工作流:把设备操作固化为流程。
- 任务中心:配置周期设备巡检。
- 场景实践 · 网安设备巡检:设备巡检场景说明。