跳转到内容

0.3.0 - Claude Code Plugin

新功能

  • SIEM 支持 Splunk/ELK,可添加自定义日志配置信息,并提供适用于 LLM 的统一日志检索接口。
  • Claude Code Plugin 正式版本,支持 ASP 大部分核心能力。
  • Claude Code Plugin 内置 8 个 Skill 和 1 个 Agent,覆盖 Case、Alert、SIEM、Knowledge 等常用调查能力。当前推荐使用 Skills

优化

  • SIRP 优化 UI 布局和字段的权限控制。
  • 删除 Dify/Mem0 插件,删除 Neo4j/Chroma 支持。

开发者笔记

SIEM 是 SOC 中的核心平台,承载着所有的日志数据,无论人员还是 LLM 都需要接口从 SIEM 搜索日志来进行信息富化或者调查。

Splunk 是商业化 SIEM 的领导者,ELK 是开源界 SIEM 最常见的方案,所以 ASP 首先选择支持这两个平台。ASP 将日志接口统一化,外部调用无需关心具体的 SIEM 实现方案。

SIEM 平台通常不支持在平台中维护日志说明,例如某个 index 的用途、字段含义等。传统方式是使用外部 wiki 存储这类信息,安全人员通过文档确认日志用途,但这种方案不利于集成和 LLM 分析。ASP 使用 YAML 文件存储这类数据,并统一成外部接口,方便 LLM 调用,也可以作为 Claude Code Plugin 中的 Reference 文件。

在当前环境下,用户使用自然语言与平台或者软件对话来进行操作是刚性需求。当前有两种方案:

  • 平台自身实现 UI 层的对话接口和 Harness Engineering。
  • 与外部的 Harness Engineering 集成。

无论从系统成熟度、用户接受程度还是工作量来看,第二个方案都是更优选择。

ASP 需要提供接口让 LLM 操作平台。早期版本选择优先对接外部 Harness Agent,并把能力拆成更细粒度的工具、Skill 和 Agent 工作流。后续版本将运行边界收敛到 asp CLI 和 Agent Operations API,以便渐进式加载、稳定 JSON 输出和更清晰的认证配置。

考虑到 ASP 的目标用户都是专业的网络安全技术人员,对命令行的接受度较高,所以 Claude Code 成为了 Harness Engineering 工具的首选。

在 ASP 可以与 Claude Code 等外部工具对接后,Dify 等带 UI 的工作流就没有必要了,所有的用户交互、记忆管理、多 Agent 都交由 Claude Code 实现。

Mem0 的优点是简单的接口、原生的 GraphRAG 支持,缺点是依赖外部图数据库(Neo4j),构建 GraphRAG 时需要调用 LLM 进行额外分析,性能不佳。

Mem0 主要场景是个人助理和长期记忆,而 ASP 使用 RAG 是作为知识库使用,为 SecOps 提供参考信息,通常也不会很大。实际工作中使用关键字和语义混合搜索(通过稀疏向量和稠密向量实现)就可以达到性能要求。通过加大返回结果数和使用 rerank 模型,准确度也有保证。

Neo4j 用于 Mem0,在不使用 Mem0 后也是不必要的。Qdrant 插件已经集成到 ASP,同时支持稀疏向量和稠密向量存储,所以 Chroma 也不必要了。

最后更新于: