rudranipulkantwar-pixel/SOC-CoPilot-
GitHub: rudranipulkantwar-pixel/SOC-CoPilot-
一个基于本地LLM和Streamlit构建的AI驱动SOC分析师仪表板,用于安全日志解析、事件严重性分级、MITRE ATT&CK映射以及自动化事件摘要与缓解建议生成。
Stars: 0 | Forks: 0
# 🛡️ SOC Copilot – AI 驱动的 SOC 分析师仪表板
SOC Copilot 是一个 **AI 驱动的安全运营中心 (SOC) 助手**,可帮助分析师**分析日志、分类事件严重性、映射 MITRE ATT&CK 技术以及生成包含缓解步骤的事件摘要**——所有这些都通过交互式的 **Streamlit 仪表板**完成。
该项目利用结构化日志解析、基于规则的检测和**本地 LLM 推理**,反映了**真实世界的 SOC 工作流程**。
## 🚀 功能
- 🔍 **日志摄取与解析**
- 从原始日志中提取平台、时间戳和指标
- 🚨 **严重性分类**
- 使用规则 + AI 进行 LOW / MEDIUM / HIGH / CRITICAL 分级
- 🧠 **LLM 驱动的推理**
- 本地 LLMs (Ollama: Mistral / LLaMA) 进行分析
- 🎯 **MITRE ATT&CK 映射**
- 检测相关的战术与技术
- 📝 **事件摘要与缓解**
- 易读的报告和修复指南
- 📊 **交互式 SOC 仪表板**
- 使用 Streamlit 进行实时调查
## 🧰 技术栈
| 类别 | 技术 |
|---|---|
| 语言 | Python |
| 仪表板 | Streamlit |
| AI / LLM | Ollama (Mistral 7B / LLaMA) |
| 编排 | LangChain |
| 威胁框架 | MITRE ATT&CK |
| 数据 | Pandas |
| 可视化 | Plotly |
| 版本控制 | Git & GitHub |
## 🏗️ 项目结构
soc-copilot/
│
├── app.py # Streamlit SOC 仪表板
├── modules/ # 核心 SOC 逻辑
│ ├── init.py
│ ├── log_parser.py
│ ├── severity_engine.py
│ ├── llm_engine.py
│ ├── langchain_pipeline.py
│ ├── mitre_engine.py
│ └── elastic_client.py
│
├── data/ # 示例 / 已摄取的日志
├── output/ # 生成的输出(已忽略)
├── env/ # 虚拟环境(已忽略)
│
├── .gitignore
├── requirements.txt
└── README.md
## 🔄 SOC 分析流程
1. **日志输入** → 通过 UI/文件提供原始日志
2. **解析** → 提取平台、时间戳、指标
3. **严重性分析** → 规则 + AI 分类
4. **MITRE 映射** → 识别战术与技术
5. **LLM 推理** → 生成摘要与缓解措施
6. **仪表板视图** → 分析师在一处进行调查
## ▶️ 本地运行
### 1) 克隆
git clone https://github.com/Nileshrak305/soc_copilot.git
cd soc-copilot
### 2) 虚拟环境
python -m venv env
env\Scripts\activate # Windows
### 3) 安装依赖
pip install -r requirements.txt
### 4) 启动应用
streamlit run app.py
🤖 LLM 设置 (Ollama)
### 安装 Ollama 并拉取模型:
ollama pull mistral 或
ollama pull llama3
在启动应用之前,请确保 Ollama 正在本地运行。
### 🎯 使用场景
SOC 日志分类与调查
蓝队训练模拟
AI 辅助的事件分析
威胁检测实践
### 🔐 安全实践
通过 .gitignore 忽略虚拟环境和输出
不提交任何机密信息
模块化、可审计的代码
本地 LLMs(无数据泄露)
### 🛣️ 路线图
实时 Elasticsearch 摄取
SIEM 集成
风险评分与趋势
Docker 化部署
自动化事件工单生成
### 💼 简历亮点
使用 Python、Streamlit、LangChain 和 MITRE ATT&CK 构建了一个 AI 驱动的 SOC 仪表板,以分析日志、分类严重性,并通过本地 LLMs 生成自动化的事件摘要。
### 👤 作者
Rudrani Pulkantwar
SOC 与安全爱好者
GitHub: https://github.com/Nileshrak305
⭐ 如果您觉得这个项目有用,请给仓库加星!
标签:AI风险缓解, API密钥扫描, Cloudflare, Copilot, DLL 劫持, Elasticsearch, HTTP工具, Kubernetes, LangChain, LLaMA, LLM, LLM评估, Mistral, MITRE ATT&CK, Ollama, Plotly, Python, Streamlit, Unmanaged PE, 人工智能, 告警研判, 大语言模型, 威胁情报, 子域名变形, 安全仪表盘, 安全运营中心, 密钥管理, 开发者工具, 插件系统, 无后门, 智能助手, 用户模式Hook绕过, 结构化查询, 网络安全, 网络安全审计, 网络映射, 自动化安全, 访问控制, 误报过滤, 轻量级, 逆向工具, 隐私保护, 风险优先级排序