产品详细介绍

Bricklayer AI 是一款专为安全运营中心(SOC)打造的智能代理(Agentic)网络安全平台,用于在整个安全运营体系中构建、管理、跟踪和扩展 AI 安全代理。平台通过“多代理协同 + 人类全程可控”的方式,将告警分流、威胁调查、响应处置等复杂安全流程自动化和标准化,帮助企业在安全人才紧缺的前提下,依然能够应对快速增长的威胁与告警量。

面向 SOC 的智能代理体系

Bricklayer AI 不只是单一的 AI 工具,而是一个可统一编排多智能体(Agents)的平台:

  • 每个代理都能理解企业自身的安全环境,包括工具数据、历史记忆和组织上下文;
  • 代理之间可以协同工作,分工处理不同类型的安全任务,如告警分级、威胁溯源、情报关联等;
  • 所有代理运行都在严格的人类监管和策略约束下,确保安全性与合规性。

与传统的 SOAR 平台相比,Bricklayer AI 更强调“自治决策 + 共享上下文”:

  • 传统 SOAR 流程僵硬、维护成本高,一旦场景变化就容易失效;
  • 单点 AI 工具往往各自为战,缺乏统一协调,导致关键上下文丢失;
  • Bricklayer 通过共享环境上下文和统一的代理编排,让自动化流程在复杂场景下仍然稳定可靠。

缓解告警过载与人力瓶颈

在现代安全运营中,EDR、云安全、网络安全等多种系统会产生海量告警,安全分析师需要在多个控制台之间来回切换,手动复制数据、比对日志、查询情报,既耗时又容易出错。Bricklayer AI 针对这一痛点提供:

  • 告警自动分流与优先级评估:代理自动对告警进行初步分析、风险打分和聚合,确保每条告警都得到应有关注;
  • 自动化调查与证据收集:从 EDR、云平台、网络设备和威胁情报源中自动拉取相关数据,形成结构化调查报告;
  • 降低 MTTR(平均响应时间):通过自动化处理大量重复性工作,为分析师节省数千小时,让人力集中在高价值决策和复杂事件上。

统一协作工作空间

Bricklayer AI 将 AI 代理与安全分析师汇聚在同一个协作工作空间中:

  • 分析师可以直接与代理对话,提出调查需求、调整策略或追问证据细节;
  • 代理会以可审查的方式展示计划、执行步骤、使用的工具和关键推理过程;
  • 所有操作过程可视化,便于团队协作、交接和复盘。

全程可控与合规审计

在安全领域,自动化必须在可控和合规前提下运行。Bricklayer AI 提供:

  • 策略驱动的工作流定义:由安全团队定义“工作如何被完成”,包括允许的动作、审批节点和例外处理;
  • 严格的 RBAC(基于角色的访问控制):不同角色对代理、数据和操作权限进行精细化管理;
  • 完整审计追踪:每一次代理行为、调用的工具、访问的数据和最终决策都有可追溯的审计记录,满足合规与取证需求。

典型应用场景

  1. EDR 告警自动化处理

    • 高并发 EDR 告警自动分级、聚合和初筛;
    • 自动收集终端日志、进程树、文件哈希等信息;
    • 生成可供分析师快速决策的调查摘要和处置建议。

  2. 云安全告警与配置风险管理

    • 自动处理来自多云平台的安全告警;
    • 结合威胁情报进行富化分析,识别真正高风险事件;
    • 提出针对性的缓解措施和持续安全姿态改进建议。

  3. 网络安全与流量异常分析

    • 自动梳理网络告警对应的日志、签名和情报源;
    • 辅助判断告警是否为误报或真实威胁;
    • 为后续封禁、隔离或策略调整提供决策依据。

简单使用教程

以下为基于 Bricklayer AI 的简要上手流程,实际操作可根据企业环境和平台版本进行调整。

步骤一:接入现有安全工具与数据源

  1. 以管理员身份登录 Bricklayer AI 控制台。
  2. 在“集成”或“连接器”页面,按向导接入现有安全系统,例如:
    • EDR / XDR 平台;
    • 云安全与日志平台(如各类公有云安全中心、日志服务);
    • 网络安全设备(防火墙、IDS/IPS、NDR 等);
    • 威胁情报源和内部 CMDB / 资产系统。
  3. 为每个集成配置访问凭证、数据同步频率和必要的权限范围,确保最小权限原则。

步骤二:创建与配置安全代理

  1. 在“Agents”或“代理管理”中,新建代理:
    • 选择代理类型(如告警分流代理、EDR 调查代理、云告警分析代理等);
    • 指定可调用的工具和数据源(例如:EDR 查询接口、日志检索、情报查询)。
  2. 为代理设置运行边界与策略:
    • 允许执行的动作(仅查询、可建议处置、可在审批后自动处置等);
    • 风险阈值(如高危告警必须人工复核);
    • 超时与重试策略。
  3. 保存并在测试环境中运行代理,对少量历史告警进行回放测试,验证行为是否符合预期。

步骤三:定义工作流与人机协同方式

  1. 在“工作流”或“Playbooks”中,为典型场景创建自动化流程:
    • 例如“EDR 高危告警处理流程”“云登录异常调查流程”等;
    • 将不同代理按顺序或并行方式编排,明确输入输出。
  2. 为关键步骤设置人工审批或人工确认节点,确保高风险操作在人工授权后执行。
  3. 通过 RBAC 为不同团队成员分配权限,如:
    • 分析师:查看代理计划、结果并发起交互;
    • 主管:审批高风险处置动作;
    • 管理员:维护集成与策略配置。

步骤四:在协作工作空间中日常使用

  1. 分析师登录 Bricklayer AI 工作空间,查看实时告警队列和代理处理状态。
  2. 对于新告警:
    • 由代理自动完成初步调查并生成摘要;
    • 分析师查看代理给出的证据、推理过程和建议处置方案。
  3. 如需深入分析,可在对话界面向代理发出追加指令,例如:
    • “进一步调查该 IP 的历史连接行为”;
    • “对该主机过去 24 小时的可疑进程进行梳理”。
  4. 对于需要处置的事件,在平台内完成审批和执行,并自动记录在审计日志中。

步骤五:持续优化与复盘

  1. 定期查看平台提供的统计与审计报告:
    • 告警处理量、自动化覆盖率、平均响应时间(MTTR)变化;
    • 代理决策准确率和误报情况。
  2. 根据复盘结果调整代理策略和工作流:
    • 优化告警分级规则;
    • 增加或减少人工审批节点;
    • 引入新的数据源或工具以提升分析深度。
  3. 持续迭代,使 Bricklayer AI 更贴合企业自身的安全运营流程和合规要求。