vinayvobbili/security-ops-platform
GitHub: vinayvobbili/security-ops-platform
一款企业级开源安全运营自动化与编排平台,将 30 多个安全工具集成、本地 LLM 调查引擎、MCP agent 工具箱和 n8n 工作流统一整合,帮助 SOC 团队实现告警分类与事件响应的全面自动化。
Stars: 0 | Forks: 0
# 安全运营自动化平台
一款企业级安全运营平台,可跨 30 多个集成工具实现 SOC 工作流的自动化与编排。它将基于 LLM 的调查引擎与自我修复聊天机器人、基于 MCP 的 agent 工具箱以及 n8n 自动化库结合在一起。
[**文档**](https://vinayvobbili.github.io/security-ops-platform) ·
[架构](https://vinayvobbili.github.io/security-ops-platform/architecture) ·
[功能](https://vinayvobbili.github.io/security-ops-platform/features/)
## 概览
| 能力 | 数量 |
|---|---|
| 安全工具集成 | 30+ |
| MCP 服务器工具 | 31 |
| LLM 调查工具 | 36 |
| 生产级聊天机器人 (Webex + Teams) | 14 |
| Web 应用页面 | 80+ |
| n8n 自动化工作流 | 35 |
## 功能说明
现代 SOC 团队需要同时处理数十个互不关联的工具,淹没在重复的分类工作中,并在上下文切换中浪费大量时间。该平台从以下三个方面解决这些问题:
- **统一工具箱。** 单个 Python 代码库在一致的客户端模式(重试、池化、OAuth2 token 缓存)背后封装了 EDR、SIEM、SOAR、威胁情报、ITSM、身份和邮件安全 API。
- **将分类工作委托给 LLM。** 基于 LangChain 的调查引擎使用自然语言回答分析师的问题,跨安全栈调用 36 个工具来收集和关联证据。
- **实现其余部分的自动化。** 35 个可直接导入的 n8n 工作流,可处理告警路由、IOC 同步、威胁情报摄取、工单丰富、SLA 跟踪和交接班。
## 核心能力
### 基于 LLM 的安全助手
使用 LangChain 和原生工具调用的 RAG 支持的调查引擎。分析师使用纯英文进行查询;引擎会检索相关的 runbook,选择工具,并行执行,并综合输出响应。通过 mlx-lm 在 Apple Silicon 上进行本地推理,使用 ChromaDB 进行向量搜索。
[阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/llm-assistant)
### Model Context Protocol (MCP) 服务器
一个独立的 MCP 服务器,通过单一统一的 schema 暴露 31 个安全工具——接入 Claude Desktop、Cline 或任何支持 MCP 的 agent,即可立即获得完整的调查工具箱。
[阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/mcp-server)
### 自我修复聊天机器人
跨越 Webex 和 Microsoft Teams 的 14 个生产级机器人。支持 WebSocket keep-alive、带抖动的指数退避重连、连接池、断路器,以及用于监控和控制的专用 REST API。专为在无人值守的情况下通宵稳定运行而构建。
[阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/webex-bots)
### 实时 SOC Dashboard
Flask Web 应用,包含 80 多个页面,涵盖工单时长、MTTR/MTTC 趋势、检测规则目录、域名监控、告警量分析和值班绩效。
[阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/soc-dashboard)
### n8n 工作流自动化
35 个可导入的工作流,用于告警路由/去重、事件升级和作战室创建、IOC 同步、暗网监控、计划性威胁狩猎、工单丰富、SLA 跟踪、交接班、资产盘点和离职检查。
[阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/n8n-workflows)
### 客户保障工作区
基于 Web 的接收系统,结合 LLM 辅助起草客户安全问卷回复。路由传入请求,基于您的控制知识库生成初步答案,并允许审核者在导出前进行细化。
[阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/customer-assurance)
### 域名威胁监控
多源监控,跨 Certificate Transparency (Censys + CertStream)、WHOIS 变更跟踪、暗网订阅、滥用订阅,以及仿冒/错拼域名检测进行自动关联——并在命中时通过聊天发出告警。
[阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/domain-monitoring)
### 30 多项安全集成
跨 EDR/XDR (CrowdStrike Falcon + RTR、Tanium、Vectra)、SIEM (QRadar、Cortex XSIAM)、SOAR (Cortex XSOAR)、案例管理 (DFIR-IRIS、TheHive)、威胁情报 (Recorded Future、VirusTotal、URLScan、AbuseIPDB、Abuse.ch、IntelX、Shodan、HIBP)、BAS (AttackIQ)、身份 (Active Directory、Varonis)、邮件安全以及 ITSM (ServiceNow) 的统一 API 客户端。
[阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/integrations)
## 架构
```
┌───────────────────────────────────────────────────────────────┐
│ User Interface Layer │
│ ┌────────────────┐ ┌────────────────┐ ┌────────────┐ │
│ │ Web Dashboard │ │ Chat Bots │ │ MCP Clients│ │
│ │ (Flask, 80+ pp)│ │ (Webex + Teams)│ │ (Claude++) │ │
│ └────────┬───────┘ └────────┬───────┘ └─────┬──────┘ │
└────────────┼─────────────────────┼──────────────────┼────────┘
│ │ │
┌────────────▼─────────────────────▼──────────────────▼────────┐
│ AI/ML Layer │
│ ┌────────────┐ ┌────────────┐ ┌────────────┐ ┌────────────┐ │
│ │ LangChain │ │ RAG Engine │ │ MCP Server │ │ 36 Agent │ │
│ │Orchestrator│ │ (ChromaDB) │ │ (FastMCP) │ │ Tools │ │
│ └────────────┘ └────────────┘ └────────────┘ └────────────┘ │
└──────────────────────────────┬───────────────────────────────┘
│
┌──────────────────────────────▼───────────────────────────────┐
│ Integration Layer │
│ EDR/XDR │ SIEM/SOAR │ Threat Intel │ ITSM │ Identity │ + │
│ ─────────────────────────────────────────────────────── │
│ 30+ security tool APIs, one unified client pattern │
└──────────────────────────────────────────────────────────────┘
```
[详细架构 →](https://vinayvobbili.github.io/security-ops-platform/architecture)
## 技术栈
- **后端**: Python 3.10+, Flask, Waitress
- **AI/ML**: LangChain, mlx-lm (Apple Silicon), ChromaDB, FastMCP
- **通讯**: Webex Teams SDK, Microsoft Bot Framework
- **工作流**: n8n
- **数据**: Pandas, NumPy, SQLite
- **质量**: Black, flake8, mypy, bandit, pytest
- **部署**: Docker, systemd, GitHub Actions
## 快速开始
```
# Clone
git clone https://github.com/vinayvobbili/security-ops-platform.git
cd security-ops-platform
# Virtualenv
python3 -m venv .venv
source .venv/bin/activate
# Dependencies
pip install -r requirements.txt
# Configure
cp data/samples/.env.sample .env
# 使用您的 API 凭据编辑 .env
# 运行 web dashboard
python web/app.py
```
Web 应用默认在 8080 端口启动。机器人、MCP 服务器和调度器各自附带了位于 `deployment/systemd/` 下的 systemd unit 文件,用于生产部署。
## 项目结构
```
security-ops-platform/
├── services/ # 30+ API clients (EDR, SIEM, SOAR, threat intel, ITSM, ...)
├── my_bot/ # LLM orchestration (LangChain + RAG + 36 tools)
│ ├── core/ # Tool binding, agent loop, state management
│ ├── tools/ # Investigation tools (one per security capability)
│ └── document/ # RAG document processing (ChromaDB)
├── mcp_server/ # FastMCP server exposing 31 security tools
├── webex_bots/ # Webex bot implementations + shared base classes
├── teams_bots/ # Microsoft Teams bot implementations
├── web/ # Flask web app
│ ├── app.py # Application entrypoint
│ ├── routes/ # Blueprint-organized API + page routes
│ ├── templates/ # 80+ Jinja2 templates
│ └── static/ # CSS, JS, assets
├── n8n_workflows/ # 35 importable n8n workflow JSON files
├── src/ # Core logic, charts, components, utilities
├── deployment/ # systemd unit files, deployment scripts
├── docs/ # Jekyll source for the documentation site
└── tests/ # Test suite
```
## 文档
完整文档位于 **[vinayvobbili.github.io/security-ops-platform](https://vinayvobbili.github.io/security-ops-platform)**。
- [主页](https://vinayvobbili.github.io/security-ops-platform) — 概览和核心指标
- [架构](https://vinayvobbili.github.io/security-ops-platform/architecture) — 详细的分层、数据流、设计模式
- [功能](https://vinayvobbili.github.io/security-ops-platform/features/) — 每项能力的深入解析
## 许可证
MIT — 详见 [LICENSE](LICENSE)。
您可以自由使用、修改和分发此代码。只需保留版权声明即可。
标签:EDR, Flask, LangChain, LLM, SOAR, Unmanaged PE, 安全运营, 扫描框架, 网络调试, 脆弱性评估, 自动化, 请求拦截, 轻量级, 逆向工具