Initial SOC memory POC implementation
This commit is contained in:
42
skills/retrieve_context_skill/README.md
Normal file
42
skills/retrieve_context_skill/README.md
Normal file
@ -0,0 +1,42 @@
|
||||
# retrieve_context_skill
|
||||
|
||||
这个 skill 用于根据当前 case 的关键信号,从 OpenViking 或 mock dataset 中召回最相关的上下文。
|
||||
|
||||
## 目标
|
||||
|
||||
输入当前 case 的场景、告警类型、IOC、描述,输出一组排序后的相关内容:
|
||||
|
||||
- 相似历史 case
|
||||
- 相关 KB
|
||||
- 相关 Playbook
|
||||
- 关键 decision points
|
||||
|
||||
## 第一阶段输入
|
||||
|
||||
- `scenario`
|
||||
- `alert_type`
|
||||
- `summary`
|
||||
- `entities`
|
||||
- `observables`
|
||||
- `top_k`
|
||||
|
||||
## 第一阶段输出
|
||||
|
||||
- `matched_cases`
|
||||
- `matched_knowledge`
|
||||
- `decision_points`
|
||||
- `next_actions`
|
||||
|
||||
## 第一阶段检索策略
|
||||
|
||||
1. 先按 `scenario` 过滤
|
||||
2. 再按 `alert_type`、IOC、关键词做匹配
|
||||
3. 再按 evidence / tags 做轻量重排序
|
||||
4. 输出 top-k
|
||||
|
||||
## 第一阶段不做
|
||||
|
||||
- 向量检索
|
||||
- 图检索
|
||||
- 个性化排序
|
||||
- 多源复杂重排
|
||||
Reference in New Issue
Block a user