move78ai/EU-AI-ACT-SIEM-COMPLIANCE-DETECTIONS
GitHub: move78ai/EU-AI-ACT-SIEM-COMPLIANCE-DETECTIONS
Stars: 0 | Forks: 0
🇪🇺 欧盟 AI 法案 SIEM 合规检测 🤖
📝 概述
EU AI Act SIEM Compliance Detections 是一个专门的开源代码库,提供生产就绪的安全信息与事件管理 (SIEM) 检测规则、Splunk SPL 查询语句和 SOC 事件响应剧本。 🛡️
该项目作为法规要求与安全运营之间的技术桥梁,提供了具体的检测控制措施,旨在帮助组织证明其符合欧盟 AI 法案(法规 (EU) 2024/1689)的合规性,重点关注高风险 AI 系统和通用人工智能 (GPAI) 监控。
📂 代码库结构 🏗️
为确保正确渲染,项目遵循以下严格的目录层级结构:
⚠️ 问题背景
法律框架定义了必须做什么,但很少解释如何在像 Splunk 这样的生产 SIEM 中进行监控。对于 SOC 团队而言,欧盟 AI 法案引入了传统 EDR/网络工具无法捕捉的新威胁载体:
• 提示注入 (Prompt Injections):绕过安全过滤器以提取机密信息。 💉
• 数据投毒 (Data Poisoning):篡改训练集以导致模型输出产生偏差。 🧪
• 人为监督绕过:AI 智能体在没有人类“熔断机制”的情况下行动。 🚫👤
未能检测到这些事件将导致监管不合规和巨额罚款(最高可达 3500 万欧元或全球营业额的 7%)。 💸
🚀 解决方案
本代码库将抽象的法律条款转化为可部署的 SIEM 逻辑。通过实施这些检测,您可以:
• ✅ 自动化合规:实时监控第 10、14 和 15 条的要求。
• ✅ 增强可见性:使用 MITRE ATLAS 和 OWASP LLM 映射来解释“技术风险”与“法律风险”的关系。
• ✅ 标准化响应:使用预构建的剧本确保 SOC 分析师正确处理 AI 事件。
• 📊 监管与威胁框架映射表
⚖️ 监管深入解析:条款与违规预防 🏛️
本代码库通过为以下条款提供技术证据,帮助组织避免“未能监控”的违规行为:
🛡️ 第 10 条:数据与数据治理
• 法律规定:要求高风险 AI 系统使用高质量的训练、验证和测试数据集,并接受适当的治理。
• 违规预防:我们提供逻辑以检测对训练数据集的未经授权篡改或“投毒”。它会标记对包含 AI 训练数据的数据湖的异常访问,防止模型完整性受到损害。
👤 第 14 条:人为监督
• 法律规定:高风险 AI 的设计必须允许自然人监督系统,以防止或最大限度地降低风险(自动化偏见)。
• 违规预防:当 AI 智能体在日志中没有相应的人工批准令牌的情况下执行“关键操作”(例如,资金转账、数据删除)时触发警报。
⚡ 第 15 条:准确性、鲁棒性和网络安全
• 法律规定:系统必须具有抵御第三方通过利用漏洞改变其使用、行为或性能的企图的能力。
• 违规预防:这是我们的主要重点。我们提供 SPL 查询,以便在 API Gateway 级别实时检测提示注入、越狱尝试和模型反转攻击。
🛠️ 实施指南 (Splunk)
1. 摄入遥测数据:确保您的 AI 技术栈日志已映射到 Splunk CIM。 🔌
2. 部署检测:将 /detections/splunk/ 中的 SPL 查询作为关联搜索导入。 🔍
3. 调整阈值:使用 baseline_builder.spl 建立“正常”的 AI 行为基线。 ⚖️
自动化:将显著事件关联到 /playbooks/ 文件夹中的 SOAR 剧本。 ⚡
⚖️ 免责声明
本代码库提供技术安全控制措施。实施本内容不构成法律建议。虽然这些检测作为欧盟 AI 法案的检测控制手段,但组织必须咨询合格的法律顾问和 ISO 42001 审核员,以确保完全符合法规要求。 🛑
🤝 贡献
我们欢迎贡献!请确保任何新的 PR 包括:
• 来自欧盟 AI 法案的相关条款。 📜
• MITRE ATLAS 战术/技术映射。 🗺️
• OWASP LLM 漏洞类别。 🔥
📄 许可证
根据 MIT 许可证分发。有关更多信息,请参阅 LICENSE。 📄
由 Abhishek G Sharma 维护,邮箱:contact@move78int.com
⚠️ 问题背景
法律框架定义了必须做什么,但很少解释如何在像 Splunk 这样的生产 SIEM 中进行监控。对于 SOC 团队而言,欧盟 AI 法案引入了传统 EDR/网络工具无法捕捉的新威胁载体:
• 提示注入 (Prompt Injections):绕过安全过滤器以提取机密信息。 💉
• 数据投毒 (Data Poisoning):篡改训练集以导致模型输出产生偏差。 🧪
• 人为监督绕过:AI 智能体在没有人类“熔断机制”的情况下行动。 🚫👤
未能检测到这些事件将导致监管不合规和巨额罚款(最高可达 3500 万欧元或全球营业额的 7%)。 💸
🚀 解决方案
本代码库将抽象的法律条款转化为可部署的 SIEM 逻辑。通过实施这些检测,您可以:
• ✅ 自动化合规:实时监控第 10、14 和 15 条的要求。
• ✅ 增强可见性:使用 MITRE ATLAS 和 OWASP LLM 映射来解释“技术风险”与“法律风险”的关系。
• ✅ 标准化响应:使用预构建的剧本确保 SOC 分析师正确处理 AI 事件。
• 📊 监管与威胁框架映射表
⚖️ 监管深入解析:条款与违规预防 🏛️
本代码库通过为以下条款提供技术证据,帮助组织避免“未能监控”的违规行为:
🛡️ 第 10 条:数据与数据治理
• 法律规定:要求高风险 AI 系统使用高质量的训练、验证和测试数据集,并接受适当的治理。
• 违规预防:我们提供逻辑以检测对训练数据集的未经授权篡改或“投毒”。它会标记对包含 AI 训练数据的数据湖的异常访问,防止模型完整性受到损害。
👤 第 14 条:人为监督
• 法律规定:高风险 AI 的设计必须允许自然人监督系统,以防止或最大限度地降低风险(自动化偏见)。
• 违规预防:当 AI 智能体在日志中没有相应的人工批准令牌的情况下执行“关键操作”(例如,资金转账、数据删除)时触发警报。
⚡ 第 15 条:准确性、鲁棒性和网络安全
• 法律规定:系统必须具有抵御第三方通过利用漏洞改变其使用、行为或性能的企图的能力。
• 违规预防:这是我们的主要重点。我们提供 SPL 查询,以便在 API Gateway 级别实时检测提示注入、越狱尝试和模型反转攻击。
🛠️ 实施指南 (Splunk)
1. 摄入遥测数据:确保您的 AI 技术栈日志已映射到 Splunk CIM。 🔌
2. 部署检测:将 /detections/splunk/ 中的 SPL 查询作为关联搜索导入。 🔍
3. 调整阈值:使用 baseline_builder.spl 建立“正常”的 AI 行为基线。 ⚖️
自动化:将显著事件关联到 /playbooks/ 文件夹中的 SOAR 剧本。 ⚡
⚖️ 免责声明
本代码库提供技术安全控制措施。实施本内容不构成法律建议。虽然这些检测作为欧盟 AI 法案的检测控制手段,但组织必须咨询合格的法律顾问和 ISO 42001 审核员,以确保完全符合法规要求。 🛑
🤝 贡献
我们欢迎贡献!请确保任何新的 PR 包括:
• 来自欧盟 AI 法案的相关条款。 📜
• MITRE ATLAS 战术/技术映射。 🗺️
• OWASP LLM 漏洞类别。 🔥
📄 许可证
根据 MIT 许可证分发。有关更多信息,请参阅 LICENSE。 📄
由 Abhishek G Sharma 维护,邮箱:contact@move78int.com标签:AI安全, AMSI绕过, Chat Copilot, CISA项目, Data Poisoning, DNS 解析, EU AI Act, GPAI, Linux系统监控, MITRE ATLAS, OWASP LLM, Playbooks, RegTech, SOAR, Splunk SPL, SPL查询, Zenmap, 人工智能治理, 人工监督, 剧本, 合规监控, 合规科技, 大模型安全, 威胁检测, 安全运营中心, 审计, 提示词模板, 数据完整性, 检测规则, 模型安全, 欧盟人工智能法案, 私有化部署, 网络安全, 网络映射, 网络资产发现, 通用人工智能, 防御规避, 隐私保护, 零日漏洞检测, 高风险AI系统