vinayvobbili/security-ops-platform

GitHub: vinayvobbili/security-ops-platform

一款企业级开源安全运营自动化与编排平台,将 30 多个安全工具集成、本地 LLM 调查引擎、MCP agent 工具箱和 n8n 工作流统一整合,帮助 SOC 团队实现告警分类与事件响应的全面自动化。

Stars: 0 | Forks: 0

# 安全运营自动化平台 一款企业级安全运营平台,可跨 30 多个集成工具实现 SOC 工作流的自动化与编排。它将基于 LLM 的调查引擎与自我修复聊天机器人、基于 MCP 的 agent 工具箱以及 n8n 自动化库结合在一起。 [**文档**](https://vinayvobbili.github.io/security-ops-platform) · [架构](https://vinayvobbili.github.io/security-ops-platform/architecture) · [功能](https://vinayvobbili.github.io/security-ops-platform/features/) ## 概览 | 能力 | 数量 | |---|---| | 安全工具集成 | 30+ | | MCP 服务器工具 | 31 | | LLM 调查工具 | 36 | | 生产级聊天机器人 (Webex + Teams) | 14 | | Web 应用页面 | 80+ | | n8n 自动化工作流 | 35 | ## 功能说明 现代 SOC 团队需要同时处理数十个互不关联的工具,淹没在重复的分类工作中,并在上下文切换中浪费大量时间。该平台从以下三个方面解决这些问题: - **统一工具箱。** 单个 Python 代码库在一致的客户端模式(重试、池化、OAuth2 token 缓存)背后封装了 EDR、SIEM、SOAR、威胁情报、ITSM、身份和邮件安全 API。 - **将分类工作委托给 LLM。** 基于 LangChain 的调查引擎使用自然语言回答分析师的问题,跨安全栈调用 36 个工具来收集和关联证据。 - **实现其余部分的自动化。** 35 个可直接导入的 n8n 工作流,可处理告警路由、IOC 同步、威胁情报摄取、工单丰富、SLA 跟踪和交接班。 ## 核心能力 ### 基于 LLM 的安全助手 使用 LangChain 和原生工具调用的 RAG 支持的调查引擎。分析师使用纯英文进行查询;引擎会检索相关的 runbook,选择工具,并行执行,并综合输出响应。通过 mlx-lm 在 Apple Silicon 上进行本地推理,使用 ChromaDB 进行向量搜索。 [阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/llm-assistant) ### Model Context Protocol (MCP) 服务器 一个独立的 MCP 服务器,通过单一统一的 schema 暴露 31 个安全工具——接入 Claude Desktop、Cline 或任何支持 MCP 的 agent,即可立即获得完整的调查工具箱。 [阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/mcp-server) ### 自我修复聊天机器人 跨越 Webex 和 Microsoft Teams 的 14 个生产级机器人。支持 WebSocket keep-alive、带抖动的指数退避重连、连接池、断路器,以及用于监控和控制的专用 REST API。专为在无人值守的情况下通宵稳定运行而构建。 [阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/webex-bots) ### 实时 SOC Dashboard Flask Web 应用,包含 80 多个页面,涵盖工单时长、MTTR/MTTC 趋势、检测规则目录、域名监控、告警量分析和值班绩效。 [阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/soc-dashboard) ### n8n 工作流自动化 35 个可导入的工作流,用于告警路由/去重、事件升级和作战室创建、IOC 同步、暗网监控、计划性威胁狩猎、工单丰富、SLA 跟踪、交接班、资产盘点和离职检查。 [阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/n8n-workflows) ### 客户保障工作区 基于 Web 的接收系统,结合 LLM 辅助起草客户安全问卷回复。路由传入请求,基于您的控制知识库生成初步答案,并允许审核者在导出前进行细化。 [阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/customer-assurance) ### 域名威胁监控 多源监控,跨 Certificate Transparency (Censys + CertStream)、WHOIS 变更跟踪、暗网订阅、滥用订阅,以及仿冒/错拼域名检测进行自动关联——并在命中时通过聊天发出告警。 [阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/domain-monitoring) ### 30 多项安全集成 跨 EDR/XDR (CrowdStrike Falcon + RTR、Tanium、Vectra)、SIEM (QRadar、Cortex XSIAM)、SOAR (Cortex XSOAR)、案例管理 (DFIR-IRIS、TheHive)、威胁情报 (Recorded Future、VirusTotal、URLScan、AbuseIPDB、Abuse.ch、IntelX、Shodan、HIBP)、BAS (AttackIQ)、身份 (Active Directory、Varonis)、邮件安全以及 ITSM (ServiceNow) 的统一 API 客户端。 [阅读更多 →](https://vinayvobbili.github.io/security-ops-platform/features/integrations) ## 架构 ``` ┌───────────────────────────────────────────────────────────────┐ │ User Interface Layer │ │ ┌────────────────┐ ┌────────────────┐ ┌────────────┐ │ │ │ Web Dashboard │ │ Chat Bots │ │ MCP Clients│ │ │ │ (Flask, 80+ pp)│ │ (Webex + Teams)│ │ (Claude++) │ │ │ └────────┬───────┘ └────────┬───────┘ └─────┬──────┘ │ └────────────┼─────────────────────┼──────────────────┼────────┘ │ │ │ ┌────────────▼─────────────────────▼──────────────────▼────────┐ │ AI/ML Layer │ │ ┌────────────┐ ┌────────────┐ ┌────────────┐ ┌────────────┐ │ │ │ LangChain │ │ RAG Engine │ │ MCP Server │ │ 36 Agent │ │ │ │Orchestrator│ │ (ChromaDB) │ │ (FastMCP) │ │ Tools │ │ │ └────────────┘ └────────────┘ └────────────┘ └────────────┘ │ └──────────────────────────────┬───────────────────────────────┘ │ ┌──────────────────────────────▼───────────────────────────────┐ │ Integration Layer │ │ EDR/XDR │ SIEM/SOAR │ Threat Intel │ ITSM │ Identity │ + │ │ ─────────────────────────────────────────────────────── │ │ 30+ security tool APIs, one unified client pattern │ └──────────────────────────────────────────────────────────────┘ ``` [详细架构 →](https://vinayvobbili.github.io/security-ops-platform/architecture) ## 技术栈 - **后端**: Python 3.10+, Flask, Waitress - **AI/ML**: LangChain, mlx-lm (Apple Silicon), ChromaDB, FastMCP - **通讯**: Webex Teams SDK, Microsoft Bot Framework - **工作流**: n8n - **数据**: Pandas, NumPy, SQLite - **质量**: Black, flake8, mypy, bandit, pytest - **部署**: Docker, systemd, GitHub Actions ## 快速开始 ``` # Clone git clone https://github.com/vinayvobbili/security-ops-platform.git cd security-ops-platform # Virtualenv python3 -m venv .venv source .venv/bin/activate # Dependencies pip install -r requirements.txt # Configure cp data/samples/.env.sample .env # 使用您的 API 凭据编辑 .env # 运行 web dashboard python web/app.py ``` Web 应用默认在 8080 端口启动。机器人、MCP 服务器和调度器各自附带了位于 `deployment/systemd/` 下的 systemd unit 文件,用于生产部署。 ## 项目结构 ``` security-ops-platform/ ├── services/ # 30+ API clients (EDR, SIEM, SOAR, threat intel, ITSM, ...) ├── my_bot/ # LLM orchestration (LangChain + RAG + 36 tools) │ ├── core/ # Tool binding, agent loop, state management │ ├── tools/ # Investigation tools (one per security capability) │ └── document/ # RAG document processing (ChromaDB) ├── mcp_server/ # FastMCP server exposing 31 security tools ├── webex_bots/ # Webex bot implementations + shared base classes ├── teams_bots/ # Microsoft Teams bot implementations ├── web/ # Flask web app │ ├── app.py # Application entrypoint │ ├── routes/ # Blueprint-organized API + page routes │ ├── templates/ # 80+ Jinja2 templates │ └── static/ # CSS, JS, assets ├── n8n_workflows/ # 35 importable n8n workflow JSON files ├── src/ # Core logic, charts, components, utilities ├── deployment/ # systemd unit files, deployment scripts ├── docs/ # Jekyll source for the documentation site └── tests/ # Test suite ``` ## 文档 完整文档位于 **[vinayvobbili.github.io/security-ops-platform](https://vinayvobbili.github.io/security-ops-platform)**。 - [主页](https://vinayvobbili.github.io/security-ops-platform) — 概览和核心指标 - [架构](https://vinayvobbili.github.io/security-ops-platform/architecture) — 详细的分层、数据流、设计模式 - [功能](https://vinayvobbili.github.io/security-ops-platform/features/) — 每项能力的深入解析 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。 您可以自由使用、修改和分发此代码。只需保留版权声明即可。
标签:EDR, Flask, LangChain, LLM, SOAR, Unmanaged PE, 安全运营, 扫描框架, 网络调试, 脆弱性评估, 自动化, 请求拦截, 轻量级, 逆向工具