這篇論文把 security incident analysis 拆成比較像真實 analyst workflow 的三段：先用和 MITRE ATT&CK 綁定的 query library 篩出候選證據，再用 RAG 補齊關鍵上下文，最後才讓 LLM 回答 forensic 問題並重建 attack sequence。重點不是證明模型能看懂 log，而是證明沒有 evidence filtering 與 grounded retrieval，再會講的模型也會在日誌海裡漏掉惡意基礎設施與攻擊步驟。