FunnyWolf/agentic-soc-platform


入门指南 · 文档

**Agentic SOC Platform** 一个强大、灵活、开源且以 Agent 为中心的自动化安全运营平台。 ## 核心功能 - 🧠 **AI 驱动的智能**: 利用内置的 AI Agent 模板（如 Langgraph 和 Dify），支持本地 LLM，以增强告警分析和自动化响应能力。 - 📊 **内置 SIRP 平台**: 配备基于 Nocoly 构建的开箱即用的安全事件响应平台 (SIRP)，允许快速定制用户界面、数据模型、报告和工作流。 - ⚙️ **强大的自动化工作流**: 通过 Webhook + Redis Stream 实现高效的告警处理，原生支持 Splunk 和 Kibana (ELK) 等主流 SIEM 平台。 - 🛠️ **高度可扩展**: 提供丰富的模块和插件库。整个框架使用 Python 编写，便于进行二次开发以及与各种安全设备和 API 集成。 - 🛡️ **本地部署与数据掌控**: 支持完全本地部署。所有数据、模型和操作均可托管在您自己的环境中，确保企业数据的安全和隐私。 - ⚡ **流式与批处理**: 提供用于实时告警分析的流式处理（modules），以及用于用户触发任务的事件驱动自动化（playbooks）。 ## 架构概览 ASP 通过简化的多阶段流程处理安全告警和事件： 1. **SIEM/告警源**: EDR、NDR 或其他安全工具将告警发送到 SIEM（例如 Splunk、Kibana）。 2. **Webhook 转发器**: SIEM 通过 Webhook 将这些告警转发到 ASP 的内置 Webhook 接收器。 3. **Redis Stream**: 接收器将告警推送到相应的 Redis Stream，作为持久化消息队列。每种告警类型都有其独立的流。 4. **模块引擎**: ASP **模块** 从指定的流中消费告警，执行分析（通常使用 AI Agents），丰富数据并确定结果。 5. **SIRP 平台**: 模块的输出（现已格式化为标准化的安全记录）被发送到 **SIRP** 平台，在那里创建或更新案例、告警和工件。 6. **PlaybookLoader 引擎**: 分析师可以从 SIRP 用户界面针对案例、告警或工件触发 **playbooks**，以执行进一步的自动化操作，例如威胁情报丰富化或修复。      ## 官方网站 [https://asp.viperrtp.com](https://asp.viperrtp.com) ## 404Starlink Agentic SOC Platform 已加入 [404Starlink](https://github.com/knownsec/404StarLink)

标签：AI安全, AMSI绕过, Chat Copilot, Dify, DLL 劫持, LangGraph, SIRP, SOAR, SOC平台, 企业安全, 内存取证对抗, 告警分诊, 大语言模型, 威胁检测, 安全编排与自动化, 安全运营中心, 搜索引擎查询, 服务枚举, 本地模型, 标准输入输出, 网络安全, 网络映射, 网络资产管理, 自动化响应, 请求拦截, 逆向工具, 隐私保护