快速開始
運作模式
Guard 以兩種模式運作,並自動切換:學習模式(第 1—7 天)
在前 7 天,Guard 觀察您的系統以建立行為基準線:- 不產生警報(防止誤報)
- 記錄正常的處理程序模式、網路連線、檔案活動
- 透過 Chat 發送每日學習進度摘要
防護模式(第 8 天以後)
基準線建立後,Guard 切換到主動防護:- 偏離基準線的行為觸發警報
- 基於信心門檻的自動化回應
- 透過 Chat 的即時通知
DARE 管線
每個安全事件依序流經 4 個代理:| 代理 | 職責 |
|---|---|
| Detect | 規則匹配(Sigma + YARA)、威脅情報查詢、去重、事件關聯 |
| Analyze | 證據收集、加權信心評分、AI 推理、基準線偏差檢查 |
| Respond | 動作執行(封鎖 IP、終止處理程序、隔離檔案)、安全檢查、升級 |
| Report | JSONL 日誌記錄與輪替、基準線更新、Threat Cloud 匿名化資料 |
代理管線深入解析
每個代理的輸入、輸出和決策邏輯的詳細分析。
偵測層
Guard 使用 3 層 AI 偵測漏斗以最小化延遲和成本:| 層級 | 引擎 | 成本 | 延遲 | 流量 |
|---|---|---|---|---|
| 第 1 層 | Sigma 規則、YARA、內建模式、威脅情報 | $0 | < 1 ms | 約 90% 的事件 |
| 第 2 層 | Ollama(本地 AI) | $0 | 約 100 ms | 約 7% 的事件 |
| 第 3 層 | Claude / OpenAI(雲端 AI) | 約 $0.01/事件 | 約 1 秒 | 約 3% 的事件 |
主要功能
| 功能 | 詳細資訊 |
|---|---|
| 監控類型 | 10 種(4 種內建 + 6 種進階) |
| Sigma 規則 | 20 條內建 + 自訂 + 社群 |
| YARA 規則 | 900+ 檔案模式匹配規則 |
| 威脅情報來源 | 5 個來源(ThreatFox、URLhaus、Feodo、GreyNoise、AbuseIPDB) |
| 關聯模式 | 7 種攻擊模式搭配 MITRE ATT&CK 對應 |
| 回應動作 | IP 封鎖、處理程序終止、檔案隔離、通知、記錄 |
| 跨平台 | macOS (pfctl)、Linux (iptables)、Windows (netsh) |
| 日誌保留 | 每個檔案 50 MB、10 個輪替檔案、90 天保留期 |