Layer 6 / 7 層架構已出貨
反應 Respond
自動阻斷、告警、劇本執行
11 種反應動作全已 ship:block_ip · kill_process · disable_account · isolate_file · block_tool · kill_agent · quarantine_session · revoke_skill · reduce_permissions · notify · log_only · 信心度閾值策略:90 / 70 / 0。
這一層做什麼
L6 反應不需人就能關閉迴圈。高信心度偵測時,RespondAgent 從 11 種動作選一:封 IP、殺 process、隔離 skill、撤銷憑證、隔離 agent session、降權、送 Slack / email / Discord 告警、停用帳號、純記錄、或跑自訂劇本步驟。
為什麼需要
偵測沒有反應就是噪音。Agent 攻擊是秒級 — SOC analyst 讀告警時憑證已經外洩。90 百分位的情況迴圈必須不需人就能關閉。
技術做法
respond-agent.ts 派送 ResponseAction union 類型。每個動作 handler 獨立可測。Policy engine 依信心度閾值決定動作(>=90% 自動、70-90% notify + wait、<70% 純記錄)。Playbook engine 組合多步驟反應。
立即試用
檢視預設 policy 並依攻擊類別客製:
pga config set policy.autoRespond 90這一層攔下的攻擊
具體威脅,具體對策
Agent 正在被劫持
嚴重偵測信心度 ≥90% → 自動 kill agent session + 撤銷憑證 + 告警 SOC。
持續性攻擊 IP
高同來源多次 payload 嘗試 — iptables / pfctl 自動封鎖。