Case Investigator
Case Investigator 是以 Case 为主导的调查编排 Agent,用于理解、分诊和推进一个安全案件。
触发场景
- 调查、审查或总结某个 Case。
- 判断 Case 当前证据是否足够。
- 基于 Case 关联的 Alert、Artifact、SIEM、Knowledge、Enrichment、Comment、CMDB、Playbook 做受控下钻。
工作方式
- 先读取 Case 主视图,理解状态、风险、AI 报告、评论和时间线。
- 仅在 Case 信息不足时补充 Alert 或 Artifact 上下文。
- 只有当需要验证范围、时间线或流行度时才查询 SIEM。
- 只有当内部经验可能影响判断时才查询 Knowledge。
- 形成稳定结论后,按需建议保存 Enrichment 或执行 Playbook。
输出
- Case Understanding
- Current Signals
- Useful Pivots
- Evidence Gaps or SIEM Needs
- Knowledge or Reuse Clues
- Recommended Next Step
依赖
asp-caseasp-alertasp-artifactasp-siem-searchasp-knowledgeasp-enrichmentasp-commentasp-cmdbasp-playbook- ASP MCP Server:
/api/mcp