mzain2004/PhishSlayer

# Phish-Slayer v2 Phish-Slayer v2 是一个专注于蓝队操作的企业级 AI 安全平台，核心目标是：恢复碎片化遥测数据中的身份连续性。 ## 执行摘要 大多数 SOC 堆栈优化的是告警数量和告警速度。但这种方法仍让分析师面对分散的证据和缓慢的事件处置。 Phish-Slayer v2 将运行模型从“更多告警”转向“一致的事件脉络”。每个高信噪比事件必须解析为严格的会话序列： 谁 -> 设备 -> 身份上下文 -> 权限 -> 操作 -> 影响 如果该链条不完整，事件就不完整。 ## v2 理念：身份连续性优先于告警数量 1. 我们优先保证序列完整性，而非原始事件数量。 2. 我们将端点遥测与云身份遥测缝合为单一调查图谱。 3. 我们将所有时间戳归一化为 UTC，防止时间线漂移和关联断裂。 4. 我们通过为响应者提供一条时间线、一个行为轨迹和一个影响范围视图来降低 MTTR。 5. 我们在设计时兼顾可靠性与成本约束，以适应持续扫描工作负载。 ## 目标受众 - 主要：处理实时 containment 和 triage 的事件响应分析师和安全运营中心工程师。 - 次要：负责遥测可靠性和响应工具的检测工程师与 SRE。 - 次次要：监控暴露面、处置速度和运营风险的安全领导者。 ## v2 提供能力 - 身份缝合引擎：关联 Microsoft Graph、Entra ID、Defender 与端点事件。 - 每个威胁路径的确定性序列验证。 - 统一时间线，严格遵循 UTC 归一化。 - 事件上下文卡片，展示行为者脉络、权限转换和影响表面。 - 兼顾成本感知的摄取与查询架构，避免无节制的 API 和云计算支出。 ## 文档索引（单一事实来源） - [ARCHITECTURE_v2.md](ARCHITECTURE_v2.md)：v2 引擎内部机制、数据流、归一化与基础设施约束。 - [DESIGN_SYSTEM.md](DESIGN_SYSTEM.md)：基于 Motionsites 协议的不可破坏 UI 规则。 - [ROADMAP.md](ROADMAP.md)：工程交付执行计划。 ## 产品边界 v2 范围内： - 身份缝合与序列强制。 - 交互式 SPA 调查仪表板。 - 以 MTTR 为导向的工作流与可靠性仪表。 v2 范围外： - 不提升身份连续性的前提下增加告警数量的功能开发。 - 无边界后台扫描，若无法显著降低 MTTR 则增加云/API 成本。 - 未集成至调查流程的独立静态页面。

标签：AI代理, AI安全平台, Defender, Entra ID, Gemini AI, Microsoft Graph, MTTR降低, Next.js 15, SOC分析员, SRE, Supabase, UTC时间, 事件溯源, 云身份遥测, 企业安全, 偏差过滤, 取证图谱, 安全主管, 实时响应, 序列完整性, 成本感知摄取, 时间线归一化, 查询架构, 检测工程师, 端点遥测, 网络资产管理, 自主安全运营中心, 自动分类, 自动化攻击, 自动响应, 自动调查, 蓝队操作, 身份连续性