depalmar/AI-Powered-Ransomware-Intelligence-Agent

# 🛡️ AI 驱动的勒索软件情报 Agent (n8n Workflows) [](https://n8n.io/) [](https://www.anthropic.com/) [](https://ollama.ai/) [](https://ransomware.live/) [](https://creativecommons.org/licenses/by-nc/4.0/) **作者:** Raymond DePalma  |  **SANS Ransomware Intelligence Webinar** 配套资源 自动化威胁情报 pipeline，持续监控勒索软件泄露站点，运行 AI 驱动的分析，并生成丰富的交互式报告 —— 发送至 Slack、Google Docs、电子邮件和您的 SIEM。 ## 📊 Workflow 进阶 | 级别 | 文件 | LLM | 关键功能 | 可见性 | |-------|------|-----|-----------------|------------| | **101** | `101_ransomware_threat_monitor.json` | Claude Opus | 监控 → AI 分析 → HTML + Slack 报告 | ✅ 公开 | | **101 (Ollama)** | `101_ransomware_threat_monitor_ollama.json` | Ollama (本地) | 同 101，完全本地化 —— 无 API 成本 | ✅ 公开 | | **200** | `200_ransomware_intel_advanced.json` | Claude Opus | + IOC 富化，YARA 规则，历史趋势，电子邮件 + JIRA | ✅ 公开 | | **200 (Ollama)** | `200_ransomware_intel_advanced_ollama.json` | Ollama (本地) | 同 200，完全本地化 | ✅ 公开 | | **300** | `300_ransomware_attribution_platform.json` | Claude Opus | + 多信号归因，SIEM 集成，IR playbook，STIX 导出 | 🔒 Webinar | ## ✨ 101 Workflow 产出内容 导入、激活，几分钟内即可获得一份完整的深色主题威胁情报简报： - **8 个 KPI 卡片** — 活跃组织、受害者总数、国家、行业、加密时间、每日受害者数量、双重勒索率、综合风险评分 - **MITRE ATT&CK 表格** — 观察到的 TTP，包含技术 ID、战术阶段和严重性徽章 - **5 个 Chart.js 图表** — 地理位置甜甜圈图、行业甜甜圈图、TTP 严重性极区图、组织对比、风险雷达图 - **攻击生命周期可视化** — 6 步骤彩色流程 (Initial Access → Execution → Priv Esc → Lateral Mvmt → Exfiltration → Impact) - **组织档案卡片** — 每个攻击者的受害者细分及个人行业图表 - **Slack 告警** — 简洁的威胁摘要，包含组织和受害者统计 - **Google Doc** — 完整的 Markdown 简报（可选） ## 🛠️ 前置条件 **适用于 Claude 版本 (101/200):** 1. [n8n instance](https://n8n.io/) — 自托管或云端 2. Anthropic API key 3. Slack webhook URL 4. Google Docs OAuth (可选) **适用于 Ollama 版本 (101/200):** 1. [n8n instance](https://n8n.io/) 2. [Ollama](https://ollama.ai/) 本地运行 — `ollama serve` 3. 已拉取兼容模型 — `ollama pull llama3.1` 4. Slack webhook URL **兼容的 Ollama 模型:** `llama3.1` (推荐), `mistral`, `gemma2`, `qwen2.5` **对于 200 级别 (额外):** - VirusTotal API key (免费层: 500 请求/天) - AbuseIPDB API key (提供免费层) - SMTP/SendGrid 用于邮件发送 - JIRA 凭证 (可选) ### 可选：用于安全演示的 Mock API 本仓库包含一个 **Mock API Server** (`mock_api/`)，用于模拟 `ransomware.live` feed —— 非常适合用于研讨会或离线演示。参见 [mock_api/README.md](mock_api/README.md)。 ## 🚀 快速开始 ### Claude (101) 1. 下载 `n8n_workflows/101_ransomware_threat_monitor.json` 2. 导入 n8n (**Workflows → Add Workflow → Import from File**) 3. 配置凭证：Anthropic API key，Slack webhook，Google Docs OAuth 4. 在 `Filter by Industry` 节点中自定义您的目标行业 5. 激活并手动触发以进行测试 ### Ollama (101) — 完全本地化，无 API 成本 1. 启动 Ollama 并拉取模型：`ollama pull llama3.1` 2. 下载 `n8n_workflows/101_ransomware_threat_monitor_ollama.json` 3. 导入 n8n 4. 配置 Slack webhook 5. Ollama 节点默认连接到 `http://localhost:11434` —— 无需 API key ### 演示模式 (离线) 使用 `101_ransomware_threat_monitor_DEMO.json` 及附带的 `mock_api/` 服务器进行现场演示，无需连接真实的威胁 feed。 ## 📋 Workflow 架构 (101) ``` Schedule (6h) → Fetch Victims API → Redact Identities → Filter by Industry → Deduplicate by Group → Fetch Group Profiles → Build Consolidated Brief → AI Threat Analysis (Claude / Ollama) → Enhance Brief → Output HTML File + Slack Alert + Google Doc ``` ## 📄 示例输出 参见 [examples/](examples/) 目录： - **[HTML Report](examples/Ransomware_Threat_Brief_Sample.html)** — 包含 Chart.js 图表的完整交互式报告，可在任何浏览器中打开 - **[Markdown Report](examples/Ransomware_Threat_Brief_Sample.md)** — 包含 Mermaid 图表和 MITRE 映射的完整简报 - **[Slack Alert](examples/Slack_Alert_Sample.txt)** — 简洁的频道通知 ## 📝 许可证 **[CC BY-NC 4.0](https://creativecommons.org/licenses/by-nc/4.0/)** — 免费用于教育和防御用途，需注明出处。禁止商业用途。 *免责声明：此 Workflow 连接到真实的威胁 feed。请以适当的 OPSEC 处理情报报告。*

标签：AI智能体, AI风险缓解, Atomic Red Team, Claude Opus, DNS信息、DNS暴力破解, DNS 反向解析, IOC情报, IP 地址批量处理, LLM评估, n8n工作流, Ollama, SANS培训, SIEM集成, Slack通知, SOC运营, STIX标准, YARA规则, 勒索软件监控, 威胁情报自动化, 库, 应急响应, 归因分析, 数据泄露检测, 本地大模型, 构建工具, 深度伪造检测, 网络安全, 隐私保护