谛听 Diting

Appearance

能力编排

能力编排模块用于将多个安全操作串联为自动化工作流。例如蜜罐捕获攻击后,自动提交 AI 审计、生成修复方案、加入漏洞库,实现端到端自动化。

工作流状态

页面顶部展示四项关键指标:

工作流总数
系统中全部工作流的数量,包括运行中、已停止和草稿状态。

运行中
当前正在执行的工作流数量。数值为 4 表示有 4 个工作流正在自动执行。

今日执行
当日触发的工作流次数。数值较大表明自动化程度高。

成功率
执行成功的比例。98.5% 表示工作流运行稳定。低于 90% 可能表明存在配置问题。

系统预置工作流

系统预装以下常用工作流:

蜜罐捕获自动化处理
蜜罐捕获攻击后,自动提交 AI 审计,生成修复方案并提交 Pull Request,最后加入漏洞库。

定时漏洞扫描
每日定时执行全量扫描,发现高危漏洞时自动触发告警。

安全事件响应
检测到安全事件后,自动收集日志、分析攻击链、生成响应报告。

资产变更监控
监控资产变更,对新增资产自动执行安全基线检查。

威胁情报联动
订阅威胁情报源,自动匹配本地资产并生成防护建议。

新建工作流

点击"+ 新建工作流"按钮手动编排:

  1. 选择触发条件(定时、事件触发、手动)
  2. 拖拽节点组成流程(扫描 → 分析 → 告警 → 生成报告)
  3. 配置每个节点的参数
  4. 保存并启动

适用于具有固定流程的场景,例如每周一扫描生产环境。

AI 生成工作流

点击"AI 生成"按钮让 AI 编写工作流:

  1. 描述需求:"发现高危漏洞后自动发送邮件并生成报告"
  2. AI 生成工作流配置
  3. 检查流程是否符合预期
  4. 启动工作流

相较于手动编排效率更高。不确定节点配置时推荐使用。

筛选工作流

按来源筛选

  • 全部工作流:显示所有
  • 系统预置:显示 5 个预装工作流
  • 用户自定义:显示手动创建的工作流
  • AI 生成:显示 AI 自动生成的工作流

按状态筛选

  • 全部状态
  • 运行中:正在执行
  • 已停止:已暂停
  • 草稿:未启动

应用场景

应急响应自动化

每次发现高危漏洞都需手动发送邮件和编写报告:

  1. 点击"AI 生成"
  2. 输入:"发现严重或高危漏洞时,自动发送邮件至安全团队,并生成修复报告"
  3. AI 生成工作流
  4. 启动后,发现高危漏洞将自动处理

定期安全检查

每周一需要扫描生产环境:

  1. 点击"新建工作流"
  2. 触发条件选择"定时",设置每周一上午 8 点
  3. 添加节点:扫描目标 → 生成报告 → 发送邮件
  4. 启动工作流

每周一自动执行,无需手动触发。

蜜罐联动

蜜罐捕获攻击后需要自动分析:

使用系统预置的"蜜罐捕获自动化处理"工作流。已配置流程:捕获 → AI 审计 → 生成修复方案 → 提交 PR → 加入漏洞库。

如流程不符合需求,点击卡片右上角"更多"按钮,选择"编辑"进行修改。

威胁情报自动匹配

订阅威胁情报后,需要自动检查资产是否受影响:

使用预置的"威胁情报联动"工作流。每次情报更新时,自动匹配本地资产并生成防护建议。

管理工作流

点击工作流卡片右上角"更多"按钮:

编辑
修改流程或调整参数。

启动/停止
运行中的工作流可停止,已停止的可启动。

查看日志
查看工作流执行历史。执行失败时可通过日志排查原因。

删除
移除工作流。建议不要删除系统预置工作流。

注意事项

工作流冲突
两个工作流监听同一事件(如"发现高危漏洞")可能导致重复告警。建议一个事件仅配置一个工作流。

测试后再启动
新建工作流应先使用测试目标验证。确认无问题后再应用至生产环境。

成功率低排查
某工作流成功率仅 60% 时:

  1. 点击卡片查看详情
  2. 查看失败的执行记录
  3. 检查具体哪个节点出错
  4. 调整参数或修改流程

AI 生成的工作流需审查
AI 生成的工作流可能不完全符合需求。启动前应检查每个节点的配置。

执行次数异常
"定时漏洞扫描"执行 365 次表示每日执行一次。若某日突然执行 50 次,可能是触发条件配置错误。

后续操作

配置工作流后的建议操作:

  • 在监控大屏查看工作流执行情况
  • 在谛听 AI 模块查询:"帮我优化蜜罐捕获的工作流"
  • 查看工作流日志排查执行失败原因