maykonlincolnusa/Agentic-SOAR-LLM-Threat-Hunting
GitHub: maykonlincolnusa/Agentic-SOAR-LLM-Threat-Hunting
一个融合 LLM 推理与知识检索的自主 SOC 平台,用于自动调查安全告警并生成 MITRE ATT&CK 映射的事件报告和响应 Playbook。
Stars: 0 | Forks: 0
# Agentic SOAR + LLM 威胁狩猎
“AI 原生 SOC”平台,用于自主调查 IDS 告警,采用:
- LangChain 用于 LLM 推理和分析。
- LlamaIndex 用于知识上下文和检索。
- MITRE ATT&CK 用于战术和技术映射。
- 自动化响应 Playbook 推荐。
## 目标
接收 IDS 告警,使用 MITRE ATT&CK 对其进行富化,通过自主 Agent 进行调查,并返回可操作的 SOC 报告。
## 架构
```
flowchart LR
IDS[IDS / SIEM / EDR] --> API[FastAPI Ingestion API]
API --> ORCH[Threat Hunting Orchestrator]
ORCH --> MITRE[MITRE Mapper]
ORCH --> KB[LlamaIndex Knowledge Retriever]
ORCH --> LLM[LangChain Investigation Agent]
ORCH --> PB[Playbook Recommender]
LLM --> RESP[Investigation Report]
PB --> RESP
```
## 结构
```
.
|- src/agentic_soar
| |- main.py
| |- orchestrator.py
| |- investigator.py
| |- knowledge.py
| |- mitre.py
| |- playbooks.py
| |- models.py
| |- config.py
|- data/
| |- mitre_techniques.yml
| |- playbooks.yml
| |- knowledge/
|- terraform/
| |- providers.tf
| |- variables.tf
| |- main.tf
| |- outputs.tf
|- docs/
| |- ARCHITECTURE.md
| |- OPERATIONS.md
|- tests/
|- docker-compose.yml
|- Dockerfile
|- pyproject.toml
```
## 快速开始
1. 配置变量:
```
cp .env.example .env
```
2. 本地启动:
```
docker compose up --build
```
3. 测试 API:
```
curl -X POST "http://localhost:8000/v1/alerts/ingest" \
-H "Content-Type: application/json" \
-H "x-api-key: change-me" \
-d '{
"alert_id":"ids-2026-0001",
"timestamp":"2026-02-18T14:10:00Z",
"severity":"high",
"event_type":"lateral_movement",
"signature":"SMB brute force from workstation to server",
"source_ip":"10.10.4.22",
"destination_ip":"10.10.2.14",
"raw_event":{"sensor":"suricata","count":47}
}'
```
## 关键特性
- 端到端自动化调查 Pipeline。
- 按技术和战术进行 MITRE ATT&CK 映射。
- 使用索引知识库提供分析上下文。
- 基于严重程度和 ATT&CK 的 Playbook 建议。
- API 已就绪,可用于集成 IDS、SIEM 或现有的 SOAR。
- 使用 Terraform 实现基础设施即代码 (AWS ECS/Fargate + ALB + CloudWatch)。
## Terraform 部署
`terraform/` 中的文件提供:
- VPC 和公有子网。
- 安全组。
- ECS 集群和 Fargate 上的 ECS 服务。
- Application Load Balancer。
- CloudWatch 日志组。
工作流:
```
cd terraform
terraform init
terraform plan -var="container_image=YOUR_ECR_IMAGE:tag"
terraform apply -var="container_image=YOUR_ECR_IMAGE:tag"
```
## 推荐的企业路线图
- 集成 STIX/TAXII 以获取外部威胁情报。
- 连接 Splunk/Elastic/Sentinel 以实现双向采集。
- 添加人机交互 (human-in-the-loop) 验证以进行自动修复。
- 在事务型数据库中持久化 Case,并保留不可变的审计追踪。
标签:AV绕过, Cloudflare, DNS 反向解析, FastAPI, IDS告警, IP 地址批量处理, LangChain, LlamaIndex, LLM, MITRE ATT&CK, PE 加载器, SOAR, Unmanaged PE, 事件分流, 事件调查, 响应剧本, 大模型安全, 安全编排与响应, 知识库检索, 网络安全, 自主SOC, 请求拦截, 轻量级, 逆向工具, 隐私保护