subhankarbhndr211/SecOS
GitHub: subhankarbhndr211/SecOS
SecOS 是一个自主式 SOC 平台,整合 8 个 AI 驱动的检测 Agent 和 Groq LLM 分诊引擎,实现从端点采集到警报研判的一体化安全运营。
Stars: 0 | Forks: 0
```
███████╗███████╗ ██████╗ ██████╗ ███████╗
██╔════╝██╔════╝██╔════╝██╔═══██╗██╔════╝
███████╗█████╗ ██║ ██║ ██║███████╗
╚════██║██╔══╝ ██║ ██║ ██║╚════██║
███████║███████╗╚██████╗╚██████╔╝███████║
╚══════╝╚══════╝ ╚═════╝ ╚═════╝ ╚══════╝
```
### 自主安全操作系统
[](LICENSE)
[](https://github.com/subhankarbhndr211/SecOS/releases)
[](#project-status)
[](https://python.org)
[](https://fastapi.tiangolo.com)
[](https://react.dev)
[](https://groq.com)
[](https://attack.mitre.org)
*一个企业级、自包含的 SOC 平台,由 8 个自主检测 Agent 和一个 AI 分诊引擎驱动 —— 可在单台 Linux 机器上部署。*
## ⚠️ 项目状态 —— 早期阶段
SecOS v6.0 是一个可运行的自主 SOC 平台 —— 所有 8 个 Agent 持续运行,AI 分诊引擎已上线,端点可以从任何地方连接。然而,许多企业功能仍在构建中。
**目前已实现:**
- ✅ 8 个自主检测 Agent 7x24 小时运行
- ✅ 通过 Groq LLaMA 3.3-70b 实现的 AEGIS AI 分诊
- ✅ Windows + Linux 端点 Agent,支持一键安装
- ✅ 16 模块 React SOC 仪表板,支持实时 WebSocket 流式传输
- ✅ 跨 11 个战术的完整 MITRE ATT&CK 映射
- ✅ 基于角色的访问控制 (admin / analyst / soc_lead)
- ✅ SOAR 建议模式,包含 6 个响应剧本
- ✅ ngrok 支持,用于远程端点连接
**正在构建中 (参见 [路线图](#roadmap)):**
- 🔨 Docker Compose 单命令部署
- 🔨 AEGIS Agentic 调查链
- 🔨 TheHive + MISP + Cortex 集成
- 🔨 多租户 MSSP 支持
- 🔨 云工作负载监控 (AWS/Azure/GCP)
- 🔨 完全自主的 SOAR 响应模式
- 🔨 自定义关联规则引擎
**预计实现完全功能对等的时间:约 2 年的积极开发。**
欢迎贡献、反馈和提出想法 —— 参见 [CONTRIBUTING.md](CONTRIBUTING.md)。
## 什么是 SecOS?
SecOS 是一个完全自主的安全操作系统,用单一可部署平台取代了传统的多供应商 SOC 技术栈。它从 Windows 和 Linux 端点收集遥测数据,通过 8 个专门的检测引擎关联事件,使用 Groq 驱动的 LLM 对每个警报进行分诊,并编排响应动作 —— 无需云基础设施、昂贵的许可费用或庞大的团队。
## 架构
```
┌─────────────────────────────────────────────────────────────┐
│ ENDPOINTS │
│ Windows Agent (PS) · Linux Agent · Log Sources │
└──────────────────┬──────────────────────────────────────────┘
│ HTTP POST /api/ingest
┌──────────────────▼──────────────────────────────────────────┐
│ INGESTION LAYER │
│ FastAPI Gateway · PostgreSQL · Redis │
└──────────────────┬──────────────────────────────────────────┘
│ secos:alerts (pub/sub)
┌──────────────────▼──────────────────────────────────────────┐
│ DETECTION LAYER │
│ SIEM · EDR · NDR · IAM · UEBA · SOAR · AEGIS AI · TIP │
└──────────────────┬──────────────────────────────────────────┘
│
┌──────────────────▼──────────────────────────────────────────┐
│ AEGIS AI ENGINE │
│ Groq · llama-3.3-70b-versatile · Suggest Mode │
│ Triage · Priority · Attack Stage · Recommendations │
└──────────────────┬──────────────────────────────────────────┘
│ WebSocket live stream
┌──────────────────▼──────────────────────────────────────────┐
│ 16-MODULE REACT DASHBOARD │
│ http://localhost:8080 · Real-time alerts + AI decisions │
└─────────────────────────────────────────────────────────────┘
```
## 快速开始
### 要求
- Ubuntu 20.04+ / Debian / WSL2
- Python 3.10+, PostgreSQL 13+, Redis 6+
- 4GB RAM minimum
```
# 克隆
git clone https://github.com/subhankarbhndr211/SecOS.git
cd SecOS
# 配置
cp .env.example .env
nano .env # Add GROQ_API_KEY (free at console.groq.com)
# 启动
sudo bash start.sh
```
- 仪表板 → `http://localhost:8080`
- API → `http://localhost:8000/api/health`
**默认凭据** *(生产环境请修改)*:
```
admin / Admin1234
analyst / Analyst123
soc / SOCteam123
```
## 连接端点
### Linux —— 一行命令
```
curl -s http://YOUR_SECOS_IP:8000/install.sh | sudo bash -s -- --server YOUR_SECOS_IP
```
### Windows —— 以管理员身份运行 PowerShell
```
Invoke-WebRequest http://YOUR_SECOS_IP:8000/install-agent-windows.ps1 -OutFile install.ps1
.\install.ps1 -Server YOUR_SECOS_IP
```
### 远程机器 (不同网络)
```
# 在 SecOS 服务器上 — 通过 ngrok 暴露
ngrok http 8000
# → https://abc123.ngrok-free.app
# 在远程端点上
curl -s https://abc123.ngrok-free.app/install.sh | sudo bash -s -- --server https://abc123.ngrok-free.app
```
📖 完整集成指南 → [docs/AGENT-INTEGRATION.md](docs/AGENT-INTEGRATION.md)
## 检测 Agent
| Agent | 功能 | 关键检测项 | 状态 |
|-------|----------|---------------|--------|
| **SIEM** | 日志关联 | SSH 暴力破解、权限提升、账户变更 | ✅ 运行中 |
| **EDR** | 端点检测 | 恶意进程、FIM、网络异常 | ✅ 运行中 |
| **NDR** | 网络检测 | C2 信标、端口扫描、恶意 IP | ✅ 运行中 |
| **IAM** | 身份监控 | 账户创建、权限变更、锁定 | ✅ 运行中 |
| **UEBA** | 行为分析 | 非工作时间活动、横向移动、速度峰值 | ✅ 运行中 |
| **SOAR** | 响应编排 | 6 个剧本,建议/自动模式 | ✅ 运行中 |
| **AEGIS** | AI 分诊引擎 | LLM 驱动的 P1–P4 优先级排序 | ✅ 运行中 |
| **TIP** | 威胁情报 | IOC 管理、指标富化 | ✅ 运行中 |
## AEGIS AI 分诊
每个 HIGH/CRITICAL 警报都由 `llama-3.3-70b-versatile` 分析:
```
{
"decision": "ESCALATE",
"priority": "P1",
"confidence": 0.94,
"attack_stage": "Credential Access",
"mitre_technique": "T1110.001",
"recommended_actions": [
"Block source IP immediately",
"Reset compromised account credentials",
"Review auth logs for successful logins from same IP"
]
}
```
当 API 不可用时,基于规则的回退机制会自动激活。
## 路线图
### ✅ 第一阶段 —— 基础 (已完成 · v6.0 · 2026 年 3 月)
- [x] 核心摄取管道 (FastAPI + PostgreSQL + Redis pub/sub)
- [x] 8 个自主检测 Agent 持续运行
- [x] AEGIS AI 分诊引擎 (Groq LLaMA 3.3-70b-versatile)
- [x] Windows PowerShell 端点 Agent
- [x] Linux Python 端点 Agent
- [x] 两个平台的一键安装程序
- [x] 16 模块 React 18 仪表板,支持 WebSocket 实时流
- [x] 跨 11 个战术的 MITRE ATT&CK 映射
- [x] 基于角色的访问控制
- [x] SOAR 建议模式,包含 6 个剧本
- [x] ngrok 远程端点支持
- [x] GitHub CI 管道,含密钥扫描
### 🔨 第二阶段 —— 加固与集成 (2026 年第二至三季度)
- [ ] Docker Compose 单命令部署
- [ ] 面向仪表板和 API 的 TLS/HTTPS (Let's Encrypt)
- [ ] 基于 JWT 的 API 认证
- [ ] TheHive 集成 (案例管理)
- [ ] MISP 集成 (威胁情报源)
- [ ] Cortex 集成 (自动化警报富化)
- [ ] 警报去重和抑制引擎
- [ ] Agent 心跳监控 (离线警报)
- [ ] 结构化 JSON 日志,支持 ELK/Grafana
- [ ] Sigma 规则导入和执行
- [ ] 端点上的 YARA 规则扫描
### 🔮 第三阶段 —— 自主智能 (2026 年第四季度 – 2027 年第一季度)
- [ ] AEGIS Agentic 调查链 (多步自主分析)
- [ ] SOAR 自动模式 (完全自动化的遏制和响应)
- [ ] 威胁狩猎查询引擎
- [ ] 攻击模拟框架 (验证检测覆盖率)
- [ ] 自定义关联规则构建器 (无代码 UI)
- [ ] 取证时间线重建
- [ ] 自动化 IOC 提取和威胁行为者画像
- [ ] 基于机器学习的异常检测 (自学习基线)
- [ ] 误报反馈循环 (AEGIS 从分析师决策中学习)
### 🚀 第四阶段 —— 企业级扩展 (2027 年第二至四季度)
- [ ] 多租户 MSSP 支持
- [ ] 云工作负载监控 (AWS CloudTrail, Azure Sentinel, GCP)
- [ ] Kubernetes / 容器工作负载 Agent
- [ ] Active Directory / LDAP / SSO 集成
- [ ] SLA 跟踪和管理报告
- [ ] 合规性报告 (ISO 27001, SOC 2, NIST CSF)
- [ ] 用于外部集成的完整 REST API
- [ ] 高可用 / 集群部署
- [ ] 移动端仪表板 (React Native)
- [ ] 社区检测包市场
## 项目结构
```
SecOS/
├── agents/
│ ├── api.py # FastAPI gateway + WebSocket
│ ├── agent_siem.py # Log correlation
│ ├── agent_edr.py # Endpoint detection
│ ├── agent_ndr.py # Network detection
│ ├── agent_iam.py # Identity monitoring
│ ├── agent_ueba.py # Behavioral analytics
│ ├── agent_soar.py # Response orchestration
│ ├── agent_aegis.py # AI triage engine
│ ├── agent_tip.py # Threat intelligence
│ └── windows/
│ ├── SecOS-Agent.ps1 # Windows endpoint agent
│ └── install-agent-windows.ps1 # Windows installer
├── frontend/
│ └── index.html # React 18 dashboard
├── docs/
│ ├── AGENT-INTEGRATION.md # Endpoint integration guide
│ └── SecOS-v6-Documentation.docx # Full technical docs
├── .github/
│ ├── workflows/ci.yml # GitHub Actions CI
│ └── ISSUE_TEMPLATE/
├── install-agent-linux.sh # Linux one-line installer
├── start.sh # Full stack startup
├── .env.example # Environment template
├── CONTRIBUTING.md
├── SECURITY.md
└── CHANGELOG.md
```
## 作者
**Subhankar Bhandari**
SOC Analyst · Security Engineer · Builder
8 years in IT · 4+ years in SOC operations
[](https://tryhackme.com)
[](https://isc2.org)
[](https://microfocus.com)
## 许可证
MIT —— 详见 [LICENSE](LICENSE)。
*"无需企业级预算的企业级安全。"*
**SecOS —— 由 SOC 分析师构建。为 SOC 分析师而生。**
*早期阶段 · 积极开发中 · 距完整愿景约需 2 年*
⭐ 如果觉得有用,请给本仓库一个 Star —— 这有助于更多人发现它。
标签:AI代理, AI合规, AMSI绕过, AV绕过, Beacon Object File, Cloudflare, DNS通配符暴力破解, FastAPI, HTTP/HTTPS抓包, LLaMA 3.3, MITRE ATT&CK, Python, React, SOC即服务, Syscalls, 下一代防火墙, 人工智能, 仪表盘, 企业安全, 威胁检测, 安全运营中心, 异常检测, 态势感知, 插件系统, 搜索引擎查询, 无后门, 智能分流, 测试用例, 用户模式Hook绕过, 端点安全, 网络安全, 网络安全审计, 网络映射, 网络资产管理, 自主SOC平台, 补丁管理, 速率限制, 防御工程, 隐私保护