实体调查

更新时间:
复制 MD 格式

实体调查用于从一个风险相关对象出发,查看它关联的风险、出现过的会话以及与其他对象的关系。本文介绍实体调查页面的功能和使用方法。

页面概述

风险审计帮助用户发现"哪些风险需要优先关注",实体调查则进一步回答"这个风险对象还牵涉了哪些上下文"。例如,当风险审计中出现某个 Secret、敏感文件、外联域名、目标 IP、用户、主机或工具时,用户可以进入实体调查,查看该对象是否多次出现、涉及哪些应用或会话、是否与其他高风险对象共同出现。

实体调查适合用于判断影响范围和调查优先级。用户可以通过它了解某个实体的风险等级、活跃时间、关联会话、关联应用、相关风险类型和共现对象,从而决定是先回放单个 Session,还是继续扩大到同一用户、主机、应用或外联目标进行排查。

适用场景

场景

使用方式

评估敏感信息影响范围

选择 Secret、PII 或敏感文件实体,查看它出现在哪些会话、应用和主机中。

调查外联风险

选择域名或目标 IP,查看哪些 Agent、用户或工具与该外联目标相关。

排查异常用户或主机

选择用户、主机或来源 IP,查看其关联风险、会话数量和共现对象。

理解工具或命令风险

选择 Tool、命令或 Action,查看它们是否频繁出现在风险会话中。

扩大调查范围

从一个实体进入关系图,发现同一风险上下文中共同出现的其他实体。

实体类型

实体调查会按类型组织风险相关对象,帮助用户从不同角度进入调查。

实体类型

说明

Secret / PII

密钥、访问凭证、连接串、手机号、邮箱等敏感数据。

文件路径

涉及敏感文件或风险文件变更的路径。

域名 / 目标 IP

Agent 访问过的外联域名、URL 或网络对端。

应用 / Agent 类型

发生风险或产生审计数据的 Agent 应用和 Agent 类型。

主机 / 用户 / 来源 IP

Agent 运行环境、使用者和访问来源。

Tool / Skill

Agent 调用的工具或使用的 Skill。

模型供应商

模型请求关联的供应商或服务边界。

命令 / Action

Shell 命令、可执行文件或关键操作动作。

页面结构

实体调查页面通常由实体分类、实体清单和实体详情组成。

实体分类

左侧实体分类用于快速了解不同类型实体的数量和风险分布。用户可以先选择 Secret、文件路径、域名、主机、用户、Tool 等类型,再在右侧查看该类型下的具体实体。

实体分类适合回答"风险主要集中在哪类对象上"。例如,如果 Secret 类型的高风险实体数量较多,说明需要优先关注凭证暴露;如果域名或目标 IP 集中度较高,说明需要关注外联目标和数据外发路径。

实体清单

实体清单展示当前类型下的实体及其风险摘要。用户可以通过实体名称、风险等级、关联会话数、关联应用数等信息判断调查优先级。

实体清单适合回答"哪些对象最值得先看"。通常可以优先关注高风险等级更高、关联会话更多、影响应用更多或最近仍然活跃的实体。

实体类型概览

实体类型概览用于从整体上观察当前实体类型的风险分布,包括实体总量、高风险实体数量、关联会话和关联应用等信息。

该区域适合帮助用户判断当前筛选条件下的风险是否集中。如果某一类实体的高风险数量明显突出,可以先从该类型开始排查;如果风险分布较分散,则可以结合时间范围、Agent 类型或具体应用继续缩小范围。

实体详情

点击实体后,可以在详情中查看实体画像、出现会话和关系图。

实体画像

实体画像汇总该实体的基本信息和风险概况,例如实体类型、展示名称、首次出现时间、最近活跃时间、关联会话数、关联应用数、关联 Agent 类型数和风险摘要。

实体画像的作用是帮助用户快速判断"这个实体重要吗、是否仍然活跃、影响范围有多大"。例如,一个最近仍然活跃、关联多个应用且存在高风险事件的 Secret,通常比只在单个历史会话中出现一次的低风险实体更值得优先处理。

出现会话

出现会话展示该实体出现过的相关 Session。用户可以进入具体会话,查看模型请求、模型响应、工具调用和工具结果,理解实体是在什么上下文中出现的。

出现会话适合回答"这个实体是怎么被使用或暴露的"。例如,用户可以确认某个 Secret 是由用户输入、工具返回、文件读取还是模型输出带入;也可以查看某个外联域名是由哪个工具访问、是否携带敏感信息、是否符合任务目标。

关系图

关系图展示当前实体与其他实体的共现关系,例如同一会话中同时出现的用户、主机、应用、Tool、文件路径、域名、目标 IP 或 Secret。

关系图适合回答"还应该继续调查哪些对象"。例如,从一个外联域名可以发现相关的 Tool 和用户;从一个 Secret 可以发现它关联的应用、主机和会话;从一个可疑命令可以发现它是否同时关联敏感文件或外部目标。用户可以沿着关系图继续追踪,逐步扩大或收敛调查范围。

使用建议

阶段

建议操作

发现实体

从风险审计进入实体调查,或在实体调查中按类型浏览高风险实体。

判断优先级

结合风险等级、最近活跃时间、关联会话数和关联应用数,选择优先调查对象。

回看上下文

在出现会话中进入审计事实,查看实体出现前后的完整事件时间线。

扩大调查

使用关系图查看共现对象,判断是否需要继续排查同一用户、主机、应用、Tool 或外联目标。

收敛结论

结合实体画像、会话上下文和关系图,判断风险影响范围和处理优先级。

与其他页面的关系

页面

关系

风险审计

从风险聚合视角发现优先风险,再进入实体调查查看影响范围和关联对象。

审计事实

回放实体出现过的 Session,查看原始事件时间线和工具调用上下文。

审计管理

确认应用风险审计或运行时风险审计是否开启,以及相关数据是否持续接入。