1.1 KiB
1.1 KiB
retrieve_context_skill
用途
在 SOC case 研判时,为 agent 检索最相关的历史 case 和知识上下文。
输入
scenario: 场景,如phishing、o365_suspicious_loginalert_type: 告警类型summary: 当前 case 摘要entities: 用户、主机、邮箱等observables: 域名、IP、URL、Hash 等top_k: 期望返回条数
输出
- 相关历史 case 列表
- 相关 KB / Playbook 列表
- 关键 evidence / decision points
- 推荐下一步调查动作
默认检索顺序
session/<session_id>soc/casesoc/knowledgeagent/<agent_id>user/<user_id>
Mock 阶段工作方式
在没有真实数据和完整 OpenViking 检索链路时,先使用 evaluation/datasets/mock_cases/ 和 evaluation/datasets/mock_kb/ 做本地检索验证。
成功标准
- 钓鱼 case 能召回钓鱼 playbook 和相似 phishing case
- O365 异常登录 case 能召回登录异常 KB 和相似 case
- 返回结果对人工 reviewer 看起来是“有帮助的上下文”,而不是泛资料堆积