SIR-Bench 論文閱讀分析:真正值得信的 IR Agent,不是會把 alert 說得更像人話,而是會自己挖出 alert 沒講的新證據
SIR-Bench 想補的不是另一個只看最後 triage 對不對的 benchmark,而是更接近真實 SOC 的問題:Incident Response Agent 到底有沒有真的做調查?這篇把 investigation depth 拉成核心指標,要求 agent 不只判斷 true positive / false positive,還得沿著 CloudTrail 與工具查詢,找出 alert 原本沒直接告訴你的 novel findings。
2026 年 4 月 17 日