场景实践
本页按安全运营中的常见工作流整理 Flocks 的典型落地场景。每个场景都围绕输入、处理链路、产出和持续运营方式展开,便于在实际项目中选择合适的能力组合。
按问题找场景
| 我想解决什么问题 | 推荐场景 |
|---|---|
| 告警很多,不知道先处理哪条 | 告警研判、告警降噪 |
| 想把告警处理变成持续运营 | 告警研判、任务中心 |
| 我要接入内网安全设备 | 内网安全产品接入、工具清单 |
| 需要查 IOC / 域名 / IP 画像 | 威胁情报与 IOC 研判、内网 IP 资产画像 |
| 发现主机可疑行为,需要取证 | 主机巡检 / 应急取证 |
| 我想测绘/核查资产和暴露面 | 互联网资产测绘 |
| 想把一次操作长期跑 | 工作流、任务中心 |
核心场景
告警研判
从 TDP / NDR / XDR 等设备抓取告警,委派专职分析 Agent 逐条研判,输出结构化 JSON 并通过通道通知,随后可固化为周期性任务。这是 Flocks 最容易落地并形成持续价值的场景之一。
典型输出:结构化研判结果 · JSON 报告 · 企微 / 钉钉通知
告警降噪
对 TDP / NDR / XDR 等设备产生的大量告警进行过滤、聚合和初步分级。该场景通常需要部署在云主机或内网虚拟机上,确保设备 Syslog 或 API 数据链路能够稳定到达 Flocks。
典型输出:重复告警合并 · 高优先级告警摘要 · 通道通知
主机巡检 / 应急取证
主机巡检 Agent 先执行基线检查,再根据异常进入深度调查。命令白名单、黑名单和人工逐条确认机制用于控制高危操作风险,最终产出包含时间线和证据链的调查报告。
典型输出:基线报告 · 入侵时间线 · IoC / 矿池地址 / 持久化手段
内网安全产品接入
将 TDP / NDR / HIDS / EDR / 情报源等系统接入 Flocks。推荐优先级为 API、日志推送、浏览器兜底。提供 API 文档后,Rex 可以辅助生成工具、验证调用链路并完成调试。
典型输出:可复用的 API 工具 · MCP 接入 · Tools 目录沉淀
浏览器自动化与网页登录
当设备没有 API 或 API 覆盖不足时,可由 Rex 打开网页、登录并提取页面数据。本机安装与 Docker 部署在交互式登录能力上存在差异;浏览器更适合作为接入桥梁,后续可将发现的后端接口固化为稳定 API 工具。
典型输出:页面数据抓取 · 后端接口发现 · 从浏览器到 API 的沉淀路径
威胁情报与 IOC 研判
提供 IP、域名或哈希后,Rex 可并行查询 ThreatBook、VT、GreyNoise 等情报源,结合企业上下文进行交叉比对,输出带证据的研判结论。该流程可扩展为批量研判和持续跟踪任务。
典型输出:IOC 研判结论 · 批量 IOC 表格 · 重点 IOC 持续跟踪
互联网资产测绘
提供域名或企业名后,平台可进行多源测绘、归类聚合、CMDB 关联和风险打标。结合资产 diff 定时任务,可在新增或变化资产出现时自动通知,是攻击面管理(ASM)的基础能力。
典型输出:资产清单 · 分类视图 · 风险 Top N · 资产变化 diff
共同的产品逻辑
这些场景虽然面向不同问题域,但在 Flocks 中遵循同一套范式:
- Rex 理解任务 → 拆步骤、选能力
- 调度专家 Agent / 工具 / Workflow → 执行动作
- 落盘中间数据 + 结构化产出 → 形成可复核、可复用的结果
- 通道通知 + 定时任务 → 从一次性处理升级为常态化运营
- 把经验沉淀为 Skill → 让相似任务具备可复用方法
场景实践本质上是同一套能力骨架在不同问题域中的应用,这也是 Flocks 被定位为 AI-Native SecOps 平台,而不是单一 AI 功能的原因。