sowmiya2383/Agentic-Incident-Response-AI

# 事件响应 Agent 一个智能的、多 Agent 自动化事件响应系统，用于处理杂乱的事件数据并生成带有行动项的经过验证的报告。 ## 功能特性 - 🤖 **多 Agent 架构**：4 个专用 Agent（分诊、取证、假设、验证） - 📊 **状态机**：基于 LangGraph 的显式阶段及恢复机制 - 🔧 **6+ 个工具**：文件加载、日志搜索、指标解析、异常检测、实体提取、Runbook 应用 - ✅ **证据溯源**：每项声明均引用具体证据 - 🛡️ **安全第一**：Prompt 注入防御，无任意代码执行 - 📈 **指标追踪**：证据覆盖率、幻觉率、时间线准确度 ## 架构 ``` ┌────────┐ ┌──────────────┐ ┌─────────┐ ┌───────────┐ ┌────────────┐ ┌────────┐ ┌────────┐ │ Ingest │──▶│Index Evidence│───▶│ Triage │──▶│ Forensics │───▶│ Hypothesis │───▶│ Verify │────▶│ Report │ └────────┘ └──────────────┘ └─────────┘ └───────────┘ └────────────┘ └────────┘ └────────┘ ``` ## 工具 | 工具 | 描述 | 用法 | |------|-------------|-------| | File Loader | 加载告警、指标、日志、聊天记录、Runbook | `load_file(path)` | | Log Search | 支持时间范围的 Regex/关键词搜索 | `search_logs(pattern, time_range)` | | Metrics Parser | 将 CSV 指标解析为时间序列 | `parse_metrics()` | | Anomaly Detection | 检测错误率/延迟中的峰值 | `detect_anomalies(threshold)` | | Entity Extraction | 提取服务、错误、端点、所有者 | `extract_entities(text)` | | Runbook Applier | 应用严重性规则和升级策略 | `apply_runbook_rules(severity)` | | Evidence Indexer | 使用行号引用对证据进行索引 | `index_evidence()` | | Timeline Builder | 构建按时间顺序排列的事件时间线 | `build_timeline()` | ## 安装 ``` git clone https://github.com/your-repo/incident-response-agent.git cd incident-response-agent pip install -r requirements.txt ``` ## 使用方法 ``` python main.py --input incident_data.json --output report.md ``` ## 依赖要求 完整依赖列表请参见 `requirements.txt`。

标签：C2, CIDR输入, DLL 劫持, IT运维, LangGraph, LLM Agent, PyRIT, runbook, SecOps, Socks5代理, SOC自动化, 事件分类, 云安全架构, 假设验证, 多智能体系统, 大语言模型, 威胁情报, 子域名变形, 安全事件响应, 安全合规, 安全报告生成, 安全运营, 实体提取, 开发者工具, 异常检测, 扫描框架, 指标解析, 提示注入防御, 数字取证, 流量嗅探, 源代码安全, 状态机, 网络代理, 网络安全, 网络安全审计, 自动化响应, 自动化脚本, 证据溯源, 证据覆盖, 软件开发, 逆向工具, 防幻觉, 隐私保护