dfirvault/DFIRCopilot

# DFIR Copilot for Splunk 一款为您的 DFIR 和威胁狩猎工作流程带来本地、离线 LLM 驱动分析的 Splunk 应用程序。DFIR Copilot 使用 Ollama 在本地运行 Mistral 或 Llama3 等模型，让您能够对 Splunk 搜索结果提出复杂问题，而无需将数据发送到云端。 DFIR Splunk 应用程序现已在应用商店正式上线！https://splunkbase.splunk.com/app/8531。这个初始版本提供了一个精简、易于安装的软件包，助您开启 DFIR LLM 之旅。 ## 应用概述 由 DFIRVault 开发的 DFIR Copilot 彻底改变了网络安全分析师与 Splunk 数据交互的方式。通过实施具有渐进式摘要功能的复杂检索增强生成 (RAG) pipeline，该应用程序允许您与日志进行对话。它能在大型数据集中保持上下文，为事件响应、取证调查和威胁狩猎提供连贯、详细的分析——所有处理均在您的本地基础设施上安全进行。 ## 核心功能与优势 - 💸 100% 免费：在您的实验室中设置和运行无需任何费用，只需连接到您现有的 Splunk 试用版或企业版服务器即可。 - 🔒 100% 本地与私有：通过 Ollama 完全离线工作。您的敏感日志数据绝不会离开您的网络。 - 🧠 DFIR 优化 AI：专为网络安全构建，提供取证、威胁情报、摘要和详细调查的分析模式。 - 🔄 高级 RAG Pipeline：采用智能分块和渐进式摘要技术，即使在分析数千个事件时也能防止上下文丢失。 - ⚙️ 配置简单：提供用户友好的基于 Web 的设置，以连接到您的 Ollama 实例并配置分析参数。 - 🚀 生产就绪：遵循 Splunk 开发最佳实践，确保可靠性并无缝集成到您现有的工作流程中。 ## 工作原理 - 搜索：运行标准的 Splunk 搜索来筛选您的events。 - 分析：使用您的分析 prompt 通过管道将结果传递给自定义的 llmhandler 命令。 - 获取洞察：应用程序将数据分块，将其与延续的上下文一起发送到您的本地 LLM，并直接在您的 Splunk 结果中返回结构化分析。 ## 使用场景 - 事件分流：获取安全警报的即时 AI 摘要概览。 - 取证时间线重建：让 LLM 分析 Windows 事件日志以构建攻击叙事。 - 威胁狩猎：在代理或 DNS 日志中识别复杂模式，如 C2 beaconing 或数据渗出。 - 日志分析：无需编写复杂的 SPL 即可理解嘈杂或复杂的应用程序日志。 ## 安装 - 下载 tar.gz 发布文件并将其安装到您的 Splunk 中。就这样。

标签：AI安全分析, AI风险缓解, API密钥扫描, CIDR输入, DLL 劫持, Llama3, LLM, LLM评估, Mistral, Ollama, ProjectDiscovery, RAG, Splunk App, Unmanaged PE, 大语言模型, 安全智能, 安全运营, 开源模型, 扫描框架, 数字取证, 数据保护, 数据隐私, 本地部署, 检索增强生成, 离线分析, 网络安全, 自动化分析, 自动化脚本, 跨站脚本, 逆向工具, 隐私保护