solomonneas/playbook-forge

# ⚒️ Solomon's Playbook Forge **具备可视化流程图、SOAR 执行引擎以及 AI 剧本生成功能的 IR（事件响应）运行手册构建器。** Playbook Forge 能够将 Markdown 和 Mermaid 语法编写的事件响应剧本转换为交互式流程图，并配备完整的执行引擎。SOC 团队可以构建、执行并逐步跟踪剧本的运行情况。AI 生成功能可以根据自然语言提示创建剧本。SOAR 集成则可连接到真实的响应平台。  ## 功能特性 - **Markdown 转流程图** - 将结构化的 Markdown 剧本解析为节点-边图 - **Mermaid 语法** - 原生支持 Mermaid 流程图语法 - **交互式画布** - 通过 React Flow 实现拖拽、平移和缩放 - **自定义节点类型** - 包含 Phase（阶段）、Step（步骤）、Decision（决策）、Execute（执行）、Merge（合并）5 种变体样式 - **剧本库** - 浏览、分类并按类型（漏洞、事件响应、威胁搜寻）进行筛选 - **执行引擎** - 逐步运行剧本，支持实时状态跟踪、时间戳和执行历史记录 - **AI 剧本生成** - 根据自然语言事件描述生成完整剧本 - **SOAR 集成** - 内置动作库，可连接到真实的响应平台 - **MCP 集成** - 用于 AI 辅助执行的 Model Context Protocol 钩子 - **MiniMap 与控制** - 提供鸟瞰视图和视口导航 - **客户端解析** - 浏览器端零延迟 Markdown 渲染 - **5 种视觉主题** - SOC、Analyst、Terminal、Command、Cyber 变体 - **引导式导览** - 为首次使用的用户提供交互式演示 - **离线优先** - 无需后端即可进行可视化 ## 快速开始 ``` # 克隆并安装 git clone https://github.com/solomonneas/playbook-forge.git cd playbook-forge # Frontend cd web && npm install && npm run dev # Backend（可选，用于 playbook 生成 AI） cd ../api && pip install -r requirements.txt && python main.py ``` 前端：**http://localhost:5177** 后端：**http://localhost:8000**（可选） ## 技术栈 | 层级 | 技术 | 用途 | |-------|-----------|---------| | **Frontend** | React 18 | 交互式仪表板 | | **Language** | TypeScript 5 | 类型安全 | | **Styling** | Tailwind CSS 3 | 实用优先的 CSS | | **Canvas** | React Flow 11 | 节点-边图可视化 | | **State** | Zustand | 全局状态管理 | | **Bundler** | Vite 5 | 开发服务器和构建 | | **Backend** (可选) | FastAPI | 剧本生成和存储 | | **Parser** | 自定义 Markdown 解析器 | 内联剧本解析 | ## 剧本语法 ### Markdown 格式 ``` # 事件响应：勒索软件攻击 ## 阶段：检测 - Step: Identify affected systems - Check EDR alerts - Correlate with SIEM events - Document initial indicators ## 阶段：分析 - Decision: Is it a critical system? - YES -> Execute: Isolate from network - NO -> Execute: Begin forensic collection ## 阶段：遏制 - Step: Isolate affected hosts - Segment network access - Disable user accounts - Preserve evidence ## 阶段：根除 - Step: Remove malware - Scan with multiple AV engines - Remove registry keys - Patch vulnerabilities ## 阶段：恢复 - Step: Restore systems - Restore from clean backups - Apply security patches - Re-enable user access ``` ### Mermaid 格式 ``` flowchart TD A[Detection] --> B{Critical System?} B -->|Yes| C[Isolate Network] B -->|No| D[Preserve Evidence] C --> E[Begin Analysis] D --> E E --> F[Eradicate Threat] F --> G[Recover Systems] ``` ## 节点类型 | 类型 | 用途 | 示例 | |------|---------|---------| | **Phase** | 主要事件响应阶段 | 检测、分析、遏制 | | **Step** | 过程性动作 | 执行 EDR 扫描、记录发现 | | **Decision** | 条件分支（是/否） | 是否关键？是否存在恶意软件？ | | **Execute** | SOAR 动作或工具集成 | 隔离主机、禁用账户、封锁 IP | | **Merge** | 汇合点 | 重新汇合分析路径 | ## 5 种变体 | 变体 | 主题 | 使用场景 | |---------|-------|----------| | **SOC** | 深岩板色，红色点缀 | 安全运营中心 | | **Analyst** | 纯净白色，蓝色 | 专业分析 | | **Terminal** | 黑色，矩阵绿 | 技术事件响应 | | **Command** | OD 绿，琥珀色 | 军事风格行动 | | **Cyber** | 霓虹青/洋红 | 赛博朋克美学 | 所有变体均使用相同的解析引擎和 React Flow 画布。可即时切换主题。 ## 项目结构 ``` playbook-forge/ ├── web/ # React frontend │ ├── src/ │ │ ├── components/ │ │ │ ├── Canvas.tsx # React Flow canvas │ │ │ ├── NodeEditor.tsx # Custom node properties panel │ │ │ ├── PlaybookLibrary.tsx │ │ │ └── ... │ │ ├── pages/ │ │ │ ├── Editor.tsx # Main editing interface │ │ │ ├── Library.tsx # Playbook browser │ │ │ └── Settings.tsx │ │ ├── parsers/ │ │ │ ├── markdownParser.ts # Markdown to graph converter │ │ │ ├── mermaidParser.ts # Mermaid parser │ │ │ └── validator.ts │ │ ├── store/ │ │ │ └── usePlaybookStore.ts # Zustand (persisted) │ │ └── variants/ # 5 theme layouts │ ├── package.json │ └── vite.config.ts ├── api/ # FastAPI backend (optional) │ ├── main.py # Entry point │ ├── playbooks/ # Playbook storage │ ├── generator/ # AI-powered generation │ └── requirements.txt └── README.md ``` ## SOAR 动作 适用于常见 SOAR 平台的内置动作库： **事件响应动作：** - `isolate_host` - 将主机从网络中移除 - `disable_account` - 禁用用户账户 - `block_ioc` - 封锁 IP/域名/哈希 - `snapshot_vm` - 创建虚拟机快照 - `quarantine_email` - 隔离电子邮件 **侦察：** - `whois_lookup` - IP/域名注册信息 - `virustotal_check` - 文件哈希信誉 - `shodan_search` - 互联网扫描结果 所有动作均为模板，团队可进行自定义。 ## 许可证 MIT - 详情请参阅 [LICENSE](LICENSE)。

标签：AI生成, AV绕过, FastAPI, GPT, IR Runbook, LLM, Markdown, Mermaid, MIT License, Mutation, Playbook, Python, React, React Flow, SOAR, Syscalls, Tailwind CSS, TypeScript, Unmanaged PE, WebAssembly, 全栈, 决策树, 剧本, 可视化, 安全插件, 安全编排与自动化响应, 安全运营, 安全运营中心, 工作流引擎, 库, 应急响应, 开源, 扫描框架, 无后门, 流程图, 漏洞管理, 网络映射, 自动化攻击, 自动化攻击, 解析器, 逆向工具