gilbarel1/drsiem-ai

GitHub: gilbarel1/drsiem-ai

基于多智能体架构的 SIEM 规则全生命周期自动化管理工具,实现检测规则的智能生成、优化、TTP 映射与跨平台转换。

Stars: 2 | Forks: 1

# 🧠 DrSIEM.ai **用于 SIEM 规则自动化与优化的自主多智能体系统** ## 🔍 概述 **DrSIEM.ai** 是一个**多智能体系统 (MAS)**,可自动化 **安全信息与事件管理 (SIEM)** 规则的生命周期。 系统协调专门的 AI 智能体来处理规则的生成、优化、转换和可解释性 —— 将手动、耗时的安全运营转化为自适应且智能的工作流程。 ## 🎯 目标 - 自动化 SIEM 规则的创建、优化和转换。 - 将**网络威胁情报 (CTI)** 源集成到规则工作流程中。 - 减少误报并提高检测准确率。 - 提供**可解释的结果**和对分析师友好的交互。 - 支持跨平台 SIEM 部署(Splunk、QRadar)。 ## ⚙️ 系统架构 该系统构建为**多智能体微服务框架**,由中央 **Orchestrator** 管理。 **主要组件:** | 智能体 | 功能 | | ------------------------ | ------------------------------------------------------------ | | **CTI Agent** | 接收 CTI 数据并自动生成相应的 SIEM 检测规则。 | | **RuleGen Agent** | 根据 MITRE ATT&CK 战术、技术和程序 (TTP) 生成检测规则。 | | **Optimizer Agent** | 将给定的 SIEM 规则与现有规则库进行分析,以识别冗余或重叠。 | | **Translator Agent** | 将 SIGMA 规则转换为 Splunk SPL 和 QRadar AQL,反之亦然。 | | **TTP Agent** | 将给定的 SIEM 规则映射到其相关的 MITRE ATT&CK TTP。 | | **Orchestrator** | 通过 API 或消息队列路由用户请求并协调智能体。 | | **Frontend (Dashboard)** | 基于 React 的 UI,用于规则管理、可视化和测试。 | ## 快速开始 按照以下步骤启动并运行项目。 ### 1. 安装依赖 在根目录下运行: ``` bun install ``` ### 2. 设置数据库 我们通过 Docker 使用 Postgres。 1. 导航到 `postgres` 目录。 2. 创建一个 `.env` 文件并设置您的 `POSTGRES_PASSWORD`。 3. 启动数据库: docker compose up -d ### 3. 配置环境变量 您需要为后端和前端分别设置 `.env` 文件。 **后端 (`/backend/.env`):** 复制示例文件并填入您的密钥: ``` cp backend/.env.example backend/.env ``` *请确保设置 `DATABASE_URL`(例如 `postgresql://admin:YOUR_PASSWORD@localhost:5432/dr-siem`)。* **前端 (`/frontend/.env`):** 创建一个新的 `.env` 文件并添加: ``` VITE_BACKEND_URL=http://localhost:3002 VITE_FRONTEND_URL=http://localhost:3003 ``` ### 4. 推送数据库 Schema 使用 Drizzle 同步您的数据库 schema: ``` cd backend bunx drizzle-kit push ``` ### 5. 运行项目 您可以在根目录下一次性运行所有内容: ``` bun dev ``` 或者,您可以单独运行它们: - **后端**: `cd backend && bun dev` - **前端**: `cd frontend && bun dev`
标签:PyRIT, 云计算, 多智能体系统, 威胁情报, 安全运营, 开发者工具, 扫描框架, 测试用例, 自动化攻击, 规则引擎, 请求拦截