RADobson/soc-squad

# SOC Squad — 自主安全运营中心 ## 这是什么？ 四个专业的自主 AI Agent，可在本地提供完整的 SOC 能力。基于 Microsoft Defender XDR + Sentinel 构建，通过 OpenClaw 在 Apple Silicon 硬件上运行。数据绝不出本地。 ## 问题所在 运营一个安全运营中心 (SOC) 仅人员成本就高达 $500K-$2M/年。支付 M365 E5 或 Business Premium 费用的中小企业 (50-500 席位) 虽然拥有了 Defender XDR 和 Sentinel，但缺乏操作它们的人员。告警堆积如山。威胁无人调查。合规审计人员要求的证据根本不存在。 ## 解决方案 四个 24/7 运营您的 SOC 的自主 Agent： | # | Bot | 核心功能 | 关键输出 | |---|-----|---------------|-------------| | 1 | **🛡️ XDR Bot** | 多源告警分诊 + 跨产品关联 + 自动响应 | 分诊后的告警、关联事件、遏制措施 | | 2 | **📊 SIEM Bot** | 分析规则审计 + 日志源清单 + 威胁狩猎 | 规则健康状况、MITRE 覆盖缺口、狩猎发现 | | 3 | **⚡ SOAR Bot** | 自动化 Playbook + 事件生命周期 + SLA 跟踪 | Playbook 执行、响应指标、合规证据 | | 4 | **🔍 UEBA Bot** | 行为基线 + 异常检测 + 内部威胁评分 | 风险评分、调查档案、同侪比对 | ## 覆盖范围 | SOC 功能 | Bot(s) | 自动化级别 | |-------------|--------|-----------------| | 告警分诊 | XDR | 完全自主 — 自动解决已知误报，上报未知威胁 | | 事件关联 | XDR | 跨产品攻击链检测 (MDE + MDO + MDI + MDA) | | 威胁狩猎 | SIEM | 计划内 + 按需狩猎，包含 MITRE ATT&CK 映射 | | 规则管理 | SIEM | 持续健康监控、噪音检测、缺口分析 | | 事件响应 | SOAR | 5 种 Playbook 类型，具备自动遏制能力 | | SLA 合规 | SOAR | 针对确认/遏制/解决目标的实时跟踪 | | 用户风险评分 | UEBA | 90 天行为基线、20 种异常类型、同侪比对 | | 内部威胁 | UEBA | 综合风险评分与调查档案 | ## 与 E8CR Squad 的关系 SOC Squad 是 E8CR Squad 的 **运营互补**： - **E8CR Squad** = 预防与合规 (Essential Eight 控制、加固、补丁) - **SOC Squad** = 检测与响应 (监控、狩猎、事件管理) 两者结合，可提供完整的自主网络安全计划。 ## 快速开始 (演示模式) ``` # 使用 sample data 运行所有 4 个 bots python3 run_all.py --output-dir /tmp/soc-demo # 打开 unified dashboard open /tmp/soc-demo/dashboard.html ``` ## 架构 ``` ┌─────────────────────────────────────────────┐ │ SOC Squad Orchestrator │ │ (run_all.py) │ ├──────────┬──────────┬──────────┬────────────┤ │ 🛡️ XDR │ 📊 SIEM │ ⚡ SOAR │ 🔍 UEBA │ │ │ │ │ │ │ Defender │ Sentinel │ Playbook │ Behavioral │ │ XDR API │ KQL API │ Engine │ Analytics │ ├──────────┴──────────┴──────────┴────────────┤ │ Microsoft 365 / Azure AD │ │ (Defender XDR + Sentinel + Entra ID) │ └─────────────────────────────────────────────┘ ``` ## 需求 - Microsoft 365 Business Premium 或 E5 - Microsoft Sentinel workspace (用于 SIEM Bot) - 具有 Security.Read + SecurityActions.ReadWrite 权限的 Azure AD 应用注册 - Python 3.10+ - Apple Silicon Mac (推荐) 或任何 Linux 主机 ## 定价模型 (提议) - **入门版:** $1,500/月 — XDR Bot + SOAR Bot (告警分诊 + 响应) - **专业版:** $2,500/月 — 所有 4 个 Bot (完整 SOC 能力) - **企业版:** $4,000/月 — 所有 Bot + 自定义 Playbook + 24/7 上报支持 - **设置费:** $2,500 一次性 (应用注册、调优、建立基线) 对比：托管 SOC/MDR 服务对类似覆盖范围收费 $5,000-$15,000/月。

标签：AI智能体, Apple Silicon, Cloudflare, E5安全, Force Graph, FTP漏洞扫描, IPS, IT运维自动化, M365安全, Microsoft Defender XDR, Microsoft Sentinel, MITRE ATT&CK, OISF, PE 加载器, SLA合规, SOAR, UEBA, 中小企业安全, 事件关联, 内部威胁检测, 剧本自动化, 合规性审计, 威胁检测与响应, 安全机器人, 安全编排, 安全运营中心, 异常检测, 微软安全栈, 攻击链检测, 数据隐私, 日志管理, 本地化部署, 用户实体行为分析, 端点安全, 网络安全自动化, 网络映射, 自主安全运营, 自动化分类, 补丁管理, 警报分类, 逆向工具, 风险评分