旅程 1：從告警到解決

使用者旅程

旅程 1：從告警到解決

Arova Nexus — Phase 0 Product Definition ｜ 2026-03-31

角色： IT 維運人員 場景： 凌晨監控系統偵測到異常，從收到告警到事件完全解決 橫跨模組： Dashboard → Incident → AI Copilot → CMDB → Automation → Service Desk → Analytics

背景

泰國廠的防火牆 PA-450 在凌晨 2:00 偵測到大量異常 Deny 流量。值班的 IT 維運人員小李需要快速判斷影響範圍、找出根因、修復問題。

旅程步驟

1. 系統自動接收告警 → 建立事件

PA-450 偵測到異常 → 送 Webhook 到 Nexus
                        ↓
                  系統自動建立 Incident
                  - 標題：PA-450 大量 Deny 爆發
                  - 嚴重度：SEV1（依規則自動判定）
                  - 狀態：觸發
                        ↓
                  AI 在 30 秒內產出分析摘要
                        ↓
                  自動通知值班人員小李（Email + App 推播）

涉及模組： Incident Management（IN-001, IN-009, IN-011）

2. 小李登入 Dashboard，看到告警

小李被通知吵醒，打開 Nexus。Dashboard 顯示：

AI 簡報：「PA-450 凌晨 2:00 起有異常 Deny 流量爆發，來源 IP 集中於 10.20.30.0/24。建議優先排查。」
活躍告警：1 筆 SEV1
KPI：活躍告警從 0 跳到 1

小李點擊 SEV1 告警，進入事件詳情頁。頂部麵包屑顯示：首頁 / 事件管理 / INC-001 PA-450 大量 Deny 爆發，隨時可以點「事件管理」回到事件列表。

涉及模組： Dashboard（DB-001, DB-008, DB-015）、Incident（IN-004）

→ Wireframe： page-dashboard → page-detail

3. 確認事件，開始調查

事件詳情頁顯示：

AI 摘要：可能原因（3 個）、影響範圍、相似歷史事件
時間軸：2:00 觸發 → 2:00 AI 摘要完成 → 2:05 通知已送出
來源：PA-450 Webhook

小李點「確認」，狀態從「觸發」→「已確認」。開始計算回應 SLA。

涉及模組： Incident（IN-005, IN-007, IN-011）

→ Wireframe： page-detail（AI 分析摘要區 + 時間軸 Tab）

4. 用 AI Copilot 查系統狀態

小李點右下角 AI Copilot 按鈕，問：

「10.20.30.0/24 這個網段有哪些設備？」

AI 查 CMDB 回答：

10.20.30.10 — 財務部印表機
10.20.30.20 — 會議室 AP
10.20.30.30 — 財務部 NAS（Synology）

小李接著問：

「NAS 的最近 1 小時 log 有什麼異常？」

AI 查 Graylog 回答：

02:00-02:30 有大量對外連線嘗試，目標 IP 是已知惡意 C2 伺服器
來源 process：疑似挖礦程式 xmrig

涉及模組： AI Copilot（AIC-002, AIC-003）、CMDB（CM-005）、Integration-Graylog（IG-016）（Phase 2）

→ Wireframe： copilot-panel

5. 判斷根因，執行修復

小李確認根因：財務部 NAS 被植入挖礦程式，對外大量連線觸發防火牆 Deny。

更新事件狀態為「處理中」，在 AI Copilot 說：

「幫我在防火牆隔離 10.20.30.30」

AI 顯示即將執行的動作：

流程：防火牆隔離（Quarantine IP）
目標：PA-450 → 封鎖 10.20.30.30 所有出站流量
預計影響：財務部 NAS 暫時無法存取

小李確認。Automation 執行流程，30 秒後回報：「已封鎖，規則已生效。」

涉及模組： Incident（IN-006）、AI Copilot（AIC-005）、Automation（AT-013）

→ Wireframe： page-detail + copilot-panel

6. 確認系統恢復，處理關聯工單

Deny 流量在隔離後 5 分鐘內歸零。小李標記事件為「已解決」。

系統提示：有 2 張關聯工單（使用者回報「NAS 連不上」）。小李選擇一鍵批次處理——2 張工單自動更新為「已解決」，使用者收到通知：「問題已修復，NAS 將在清除後恢復存取。」

涉及模組： Incident（IN-006, IN-014）、Service Desk（SD-005）

7. 事後回顧

隔天早上，小李在事件詳情撰寫事後回顧：

根因： 財務部 NAS 未安裝防毒軟體，被植入挖礦程式
影響： 防火牆 Deny 流量暴增，觸發 SEV1 告警
處理時間： 從觸發到解決 35 分鐘（MTTR）
改善措施：
1. 所有 NAS 裝置安裝端點防護
2. 建立自動化掃描排程

事後回顧一鍵存入知識庫。下次類似事件，AI 會自動引用這份回顧。

涉及模組： Incident（IN-016, IN-017）（Phase 2）、Knowledge（KB-001）、Analytics（MTTR 指標更新）

旅程摘要

步驟	動作	模組	Wireframe 頁面
1	系統自動建立事件 + AI 摘要	Incident	—
2	Dashboard 看到告警	Dashboard	`page-dashboard`
3	確認事件、看 AI 分析	Incident	`page-detail`
4	AI Copilot 查設備和 log	AI Copilot + CMDB + Integration	`copilot-panel`
5	AI 觸發自動化隔離	AI Copilot + Automation	`copilot-panel`
6	解決事件 + 批次處理工單	Incident + Service Desk	`page-detail`
7	事後回顧存入知識庫	Incident + Knowledge	`page-detail`

總時間： 35 分鐘（從觸發到解決） 模組參與度： 7 個模組協作完成一次 Incident Response