43 lines
798 B
Markdown
43 lines
798 B
Markdown
# retrieve_context_skill
|
||
|
||
这个 skill 用于根据当前 case 的关键信号,从 OpenViking 或 mock dataset 中召回最相关的上下文。
|
||
|
||
## 目标
|
||
|
||
输入当前 case 的场景、告警类型、IOC、描述,输出一组排序后的相关内容:
|
||
|
||
- 相似历史 case
|
||
- 相关 KB
|
||
- 相关 Playbook
|
||
- 关键 decision points
|
||
|
||
## 第一阶段输入
|
||
|
||
- `scenario`
|
||
- `alert_type`
|
||
- `summary`
|
||
- `entities`
|
||
- `observables`
|
||
- `top_k`
|
||
|
||
## 第一阶段输出
|
||
|
||
- `matched_cases`
|
||
- `matched_knowledge`
|
||
- `decision_points`
|
||
- `next_actions`
|
||
|
||
## 第一阶段检索策略
|
||
|
||
1. 先按 `scenario` 过滤
|
||
2. 再按 `alert_type`、IOC、关键词做匹配
|
||
3. 再按 evidence / tags 做轻量重排序
|
||
4. 输出 top-k
|
||
|
||
## 第一阶段不做
|
||
|
||
- 向量检索
|
||
- 图检索
|
||
- 个性化排序
|
||
- 多源复杂重排
|