gilbarel1/drsiem-ai
GitHub: gilbarel1/drsiem-ai
基于多智能体架构的 SIEM 规则全生命周期自动化管理工具,实现检测规则的智能生成、优化、TTP 映射与跨平台转换。
Stars: 2 | Forks: 1
# 🧠 DrSIEM.ai
**用于 SIEM 规则自动化与优化的自主多智能体系统**
## 🔍 概述
**DrSIEM.ai** 是一个**多智能体系统 (MAS)**,可自动化 **安全信息与事件管理 (SIEM)** 规则的生命周期。
系统协调专门的 AI 智能体来处理规则的生成、优化、转换和可解释性 —— 将手动、耗时的安全运营转化为自适应且智能的工作流程。
## 🎯 目标
- 自动化 SIEM 规则的创建、优化和转换。
- 将**网络威胁情报 (CTI)** 源集成到规则工作流程中。
- 减少误报并提高检测准确率。
- 提供**可解释的结果**和对分析师友好的交互。
- 支持跨平台 SIEM 部署(Splunk、QRadar)。
## ⚙️ 系统架构
该系统构建为**多智能体微服务框架**,由中央 **Orchestrator** 管理。
**主要组件:**
| 智能体 | 功能 |
| ------------------------ | ------------------------------------------------------------ |
| **CTI Agent** | 接收 CTI 数据并自动生成相应的 SIEM 检测规则。 |
| **RuleGen Agent** | 根据 MITRE ATT&CK 战术、技术和程序 (TTP) 生成检测规则。 |
| **Optimizer Agent** | 将给定的 SIEM 规则与现有规则库进行分析,以识别冗余或重叠。 |
| **Translator Agent** | 将 SIGMA 规则转换为 Splunk SPL 和 QRadar AQL,反之亦然。 |
| **TTP Agent** | 将给定的 SIEM 规则映射到其相关的 MITRE ATT&CK TTP。 |
| **Orchestrator** | 通过 API 或消息队列路由用户请求并协调智能体。 |
| **Frontend (Dashboard)** | 基于 React 的 UI,用于规则管理、可视化和测试。 |
## 快速开始
按照以下步骤启动并运行项目。
### 1. 安装依赖
在根目录下运行:
```
bun install
```
### 2. 设置数据库
我们通过 Docker 使用 Postgres。
1. 导航到 `postgres` 目录。
2. 创建一个 `.env` 文件并设置您的 `POSTGRES_PASSWORD`。
3. 启动数据库:
docker compose up -d
### 3. 配置环境变量
您需要为后端和前端分别设置 `.env` 文件。
**后端 (`/backend/.env`):**
复制示例文件并填入您的密钥:
```
cp backend/.env.example backend/.env
```
*请确保设置 `DATABASE_URL`(例如 `postgresql://admin:YOUR_PASSWORD@localhost:5432/dr-siem`)。*
**前端 (`/frontend/.env`):**
创建一个新的 `.env` 文件并添加:
```
VITE_BACKEND_URL=http://localhost:3002
VITE_FRONTEND_URL=http://localhost:3003
```
### 4. 推送数据库 Schema
使用 Drizzle 同步您的数据库 schema:
```
cd backend
bunx drizzle-kit push
```
### 5. 运行项目
您可以在根目录下一次性运行所有内容:
```
bun dev
```
或者,您可以单独运行它们:
- **后端**: `cd backend && bun dev`
- **前端**: `cd frontend && bun dev`
标签:PyRIT, 云计算, 多智能体系统, 威胁情报, 安全运营, 开发者工具, 扫描框架, 测试用例, 自动化攻击, 规则引擎, 请求拦截