131 lines
2.5 KiB
Markdown
131 lines
2.5 KiB
Markdown
# POC Scope
|
|
|
|
## 目标
|
|
|
|
第一阶段 POC 只验证一件事:
|
|
|
|
**高价值记忆抽取 + 相似 case / 知识召回,是否能有效提升 SOC case 研判效率和质量。**
|
|
|
|
## POC 范围
|
|
|
|
### 聚焦 case 类型
|
|
|
|
建议只选 1 到 2 类典型场景:
|
|
|
|
1. 钓鱼邮件 / 恶意附件
|
|
2. O365 异常登录 / 疑似账号被盗
|
|
|
|
原因:
|
|
|
|
- 数据可获得性较高
|
|
- 历史 case 重用价值高
|
|
- playbook / KB 通常较完整
|
|
- 便于定义“相似 case 命中率”
|
|
|
|
## 第一阶段只接入的数据
|
|
|
|
### 必接
|
|
|
|
- 历史 case
|
|
- KB
|
|
- Playbook
|
|
|
|
### 可选接入
|
|
|
|
- 月报摘要
|
|
- 报告摘要
|
|
|
|
### 暂不接入
|
|
|
|
- ticket system 双向同步
|
|
- 全量情报系统自动拉取
|
|
- 全量报告原文
|
|
- 大规模 process trace 持久化
|
|
- analyst 偏好个性化
|
|
|
|
## 第一阶段要做的能力
|
|
|
|
### 必做
|
|
|
|
- 历史 case 导入
|
|
- KB / Playbook 导入
|
|
- 高价值信息抽取
|
|
- 基于当前 case 的相关上下文检索
|
|
- case 总结沉淀
|
|
- 结构化写回 OpenViking
|
|
- 生成 Obsidian case note
|
|
|
|
### 第二阶段再做
|
|
|
|
- EverMemOS 长期整理自动化
|
|
- 更复杂的去重和衰减
|
|
- 多数据源自动同步
|
|
- 多 agent 协同策略优化
|
|
|
|
## 不做的事情
|
|
|
|
为了保证 POC 可落地,第一阶段明确不做:
|
|
|
|
- 泛化的企业级记忆平台
|
|
- 所有原始数据全量入库
|
|
- 全量全文检索系统重构
|
|
- 覆盖所有 SOC 告警类型
|
|
- 复杂权限系统
|
|
- 完整的在线标注平台
|
|
|
|
## 交付物
|
|
|
|
第一阶段建议交付:
|
|
|
|
1. 可运行的 memory gateway
|
|
2. 一批可导入的历史 case 与 KB / Playbook 样本
|
|
3. 最小的 ingest / retrieve / summarize / commit 闭环
|
|
4. Obsidian 模板和样例 note
|
|
5. 一份 baseline 与 POC 对比评估结果
|
|
|
|
## 2 到 4 周实施建议
|
|
|
|
### 第 1 周
|
|
|
|
- 冻结 POC 范围
|
|
- 整理样本数据
|
|
- 完成数据模型与 namespace 约定
|
|
- 建好 Obsidian 模板
|
|
|
|
### 第 2 周
|
|
|
|
- 完成历史 case / KB 导入脚本
|
|
- 完成 `retrieve_context_skill`
|
|
- 接通 OpenViking 的 `soc/case` 和 `soc/knowledge`
|
|
|
|
### 第 3 周
|
|
|
|
- 完成 `summarize_case_skill`
|
|
- 完成 `commit_memory_skill`
|
|
- 输出标准 case note 到 Obsidian
|
|
|
|
### 第 4 周
|
|
|
|
- 跑评估脚本
|
|
- 做人工 review
|
|
- 收敛下一阶段需求
|
|
|
|
## 评估指标
|
|
|
|
建议至少跟踪以下指标:
|
|
|
|
- 相似 case 命中率
|
|
- 检索上下文相关性
|
|
- 平均研判时间
|
|
- 最终结论准确率
|
|
- 人工满意度
|
|
|
|
## 验收标准
|
|
|
|
POC 第一阶段可以认为成功,当同时满足:
|
|
|
|
- 能稳定召回相关历史 case 或知识
|
|
- 能辅助生成结构化 case note
|
|
- 人工评估认为上下文质量有明显提升
|
|
- 没有因为“塞入太多资料”导致检索明显劣化
|