MukundaKatta/alertiq
GitHub: MukundaKatta/alertiq
一个基于 MITRE ATT&CK 框架的 AI 安全告警分诊与事件响应自动化工具,用于告警分类、关联分析和生成响应 Playbook。
Stars: 0 | Forks: 0
# ALERTIQ
AI 驱动的 SOC 分析师,用于自动化安全告警分类、关联和事件响应。
## 概述
ALERTIQ 是一个智能安全运营中心 (SOC) 分析师,利用 MITRE ATT&CK 框架映射自动化安全告警的分类,将相关告警关联为事件,并生成用于遏制和修复的响应 Playbook。
## 功能
- **告警分类** - 将告警归类为恶意软件、钓鱼、暴力破解、数据泄露、内部威胁、拒绝服务和横向移动
- **优先级评分** - 使用 MITRE ATT&CK 战术计算严重性评分,并结合上下文加权
- **告警去重** - 将相关告警分组,以减少噪音和分析师疲劳
- **关联引擎** - 通过 IP 地址、用户身份和时间范围将告警链接为统一事件
- **关联规则** - 检测同源多类型攻击、杀伤链进展和重复失败模式
- **攻击时间线** - 根据关联告警构建叙事性时间线,以可视化攻击进展
- **事件 Playbook** - 针对每种告警类型提供分步响应程序
- **响应自动化** - 执行遏制措施(封锁 IP、禁用账户、隔离主机)
- **告警模拟** - 生成逼真的告警场景,用于测试和演示
- **丰富报告** - 生成包含 MITRE ATT&CK 映射的格式化事件报告
## 安装
```
pip install -e .
```
## 使用方法
```
# 模拟警报并运行分诊
alertiq simulate --count 20
# 分诊一批警报
alertiq triage --input alerts.json
# 将警报关联为事件
alertiq correlate --input alerts.json --window 3600
# 生成事件报告
alertiq report --incident-id INC-001
# 运行完整流程:simulate -> triage -> correlate -> respond -> report
alertiq run --simulate --count 30
```
## MITRE ATT&CK 覆盖范围
ALERTIQ 将告警映射到以下 MITRE ATT&CK 战术:
| 战术 | ID | 描述 |
|---|---|---|
| Initial Access | TA0001 | 进入网络的入口载体 |
| Execution | TA0002 | 运行恶意代码 |
| Persistence | TA0003 | 维持立足点 |
| Privilege Escalation | TA0004 | 获取更高权限 |
| Defense Evasion | TA0005 | 规避检测 |
| Credential Access | TA0006 | 窃取凭证 |
| Discovery | TA0007 | 探索环境 |
| Lateral Movement | TA0008 | 在网络中移动 |
| Collection | TA0009 | 收集目标数据 |
| Exfiltration | TA0010 | 窃取数据 |
| Command and Control | TA0011 | 与被攻陷系统通信 |
| Impact | TA0040 | 破坏可用性或完整性 |
## 架构
```
src/alertiq/
models.py # Pydantic data models (Alert, Incident, MITRETactic, Playbook)
cli.py # Click CLI entry point
simulator.py # Alert simulation engine
report.py # Rich incident reporting
triage/
classifier.py # AlertClassifier - ML-based alert categorization
priority.py # PriorityEngine - MITRE ATT&CK severity scoring
dedup.py # AlertDeduplicator - related alert grouping
correlator/
engine.py # CorrelationEngine - multi-signal alert linking
rules.py # CorrelationRule definitions
timeline.py # AttackTimeline narrative builder
responder/
playbook.py # IncidentPlaybook - response procedures
automator.py # ResponseAutomator - containment execution
```
## 作者
Mukunda Katta
## 许可证
MIT
标签:AI安全, Chat Copilot, Cloudflare, LLM 安全应用, MITRE ATT&CK, Object Callbacks, PoC, Python 安全工具, SOAR, SOC分析师, 事件 playbook, 事件报告生成, 告警分诊, 告警去重, 威胁关联, 威胁情报, 安全合规, 安全运营, 开发者工具, 扫描框架, 攻击链分析, 数据渗出, 暴力破解, 横向移动, 编程规范, 网络代理, 网络安全, 网络钓鱼, 自动化防御, 逆向工具, 隐私保护, 风险评分