安全分析师面临大量安全告警，而许多检测系统仅提供低上下文的告警信息，导致初期调查通常需要手动跨多个日志源进行关联，耗时且容易出错。本文提出一种实验性的代理式工作流，利用大语言模型（LLM）并增强以预定义查询和受限工具访问（针对Suricata日志的结构化SQL和基于grep的文本搜索），实现告警调查初始阶段的自动化。该工作流首先执行查询以获取可用数据的概览，然后LLM组件基于概览结果选择合适的查询，从查询结果中提取原始证据，最终生成告警的判定结果。实验证明，该LLM驱动的工作流能够调查日志源、规划调查步骤，并生成比单独使用同一LLM显著更高准确度的最终判定。本文的核心贡献在于认识到直接将LLM应用于高容量非结构化数据的局限性，并提出将分析师现有的调查实践与结构化方法结合，利用LLM作为虚拟安全分析师，从而减轻手动工作负担。该方法适用于提升SOC的告警分析效率，尤其适合处理海量日志和告警的场景。