2.5 KiB
2.5 KiB
POC Scope
目标
第一阶段 POC 只验证一件事:
高价值记忆抽取 + 相似 case / 知识召回,是否能有效提升 SOC case 研判效率和质量。
POC 范围
聚焦 case 类型
建议只选 1 到 2 类典型场景:
- 钓鱼邮件 / 恶意附件
- O365 异常登录 / 疑似账号被盗
原因:
- 数据可获得性较高
- 历史 case 重用价值高
- playbook / KB 通常较完整
- 便于定义“相似 case 命中率”
第一阶段只接入的数据
必接
- 历史 case
- KB
- Playbook
可选接入
- 月报摘要
- 报告摘要
暂不接入
- ticket system 双向同步
- 全量情报系统自动拉取
- 全量报告原文
- 大规模 process trace 持久化
- analyst 偏好个性化
第一阶段要做的能力
必做
- 历史 case 导入
- KB / Playbook 导入
- 高价值信息抽取
- 基于当前 case 的相关上下文检索
- case 总结沉淀
- 结构化写回 OpenViking
- 生成 Obsidian case note
第二阶段再做
- EverMemOS 长期整理自动化
- 更复杂的去重和衰减
- 多数据源自动同步
- 多 agent 协同策略优化
不做的事情
为了保证 POC 可落地,第一阶段明确不做:
- 泛化的企业级记忆平台
- 所有原始数据全量入库
- 全量全文检索系统重构
- 覆盖所有 SOC 告警类型
- 复杂权限系统
- 完整的在线标注平台
交付物
第一阶段建议交付:
- 可运行的 memory gateway
- 一批可导入的历史 case 与 KB / Playbook 样本
- 最小的 ingest / retrieve / summarize / commit 闭环
- Obsidian 模板和样例 note
- 一份 baseline 与 POC 对比评估结果
2 到 4 周实施建议
第 1 周
- 冻结 POC 范围
- 整理样本数据
- 完成数据模型与 namespace 约定
- 建好 Obsidian 模板
第 2 周
- 完成历史 case / KB 导入脚本
- 完成
retrieve_context_skill - 接通 OpenViking 的
soc/case和soc/knowledge
第 3 周
- 完成
summarize_case_skill - 完成
commit_memory_skill - 输出标准 case note 到 Obsidian
第 4 周
- 跑评估脚本
- 做人工 review
- 收敛下一阶段需求
评估指标
建议至少跟踪以下指标:
- 相似 case 命中率
- 检索上下文相关性
- 平均研判时间
- 最终结论准确率
- 人工满意度
验收标准
POC 第一阶段可以认为成功,当同时满足:
- 能稳定召回相关历史 case 或知识
- 能辅助生成结构化 case note
- 人工评估认为上下文质量有明显提升
- 没有因为“塞入太多资料”导致检索明显劣化