falsePositiveGuru/soc-playbook-generator

# 🛡️ SOC Playbook Generator     **🌐 Live App →** [falsepositiveguru.github.io/soc-playbook-generator](https://soc-playbook-generator.ksuneelbaba9.workers.dev) ## 🔍 概述 SOC Playbook Generator 帮助安全分析师根据自然语言威胁描述即时生成全面的事件响应剧本。利用您选择的 AI 提供商，它能在几秒钟内生成结构化的、可操作的事件响应剧本——无需模板、无需手动编写、无需后端。 ## ⚡ 功能 | Feature | Description | |---|---| | 🤖 **Multi-LLM Support** | 可从 Anthropic、OpenAI、Groq 或 Gemini 中选择 | | 📋 **IR Playbook** | 分阶段的事件响应步骤 | | 🔎 **Detection Rules** | SIEM 查询（Splunk SPL / KQL）、SOAR 动作、IOC | | ✅ **Investigation Checklist** | 带有实时进度跟踪的交互式检查清单 | | 🔧 **Remediation Runbook** | 优先级操作——即时 / 短期 / 长期 | | 🎯 **MITRE ATT&CK Mapping** | 附带直接链接到 attack.mitre.org 的技术映射 | | 📄 **PDF Export** | 深色主题、适合打印的剧本导出 | | 🔐 **Privacy First** | API 密钥仅存储在浏览器本地存储中——永不发送到任何服务器 | ## 🤖 支持的 AI 提供商 | Provider | Model | Free Tier | Get API Key | |---|---|---|---| | **Anthropic** | claude-haiku-4-5 | No (pay per use) | [console.anthropic.com](https://console.anthropic.com/) | | **OpenAI** | gpt-4o-mini | No (pay per use) | [platform.openai.com](https://platform.openai.com/api-keys) | | **Groq** | llama-3.3-70b-versatile | ✅ Yes — generous free tier | [console.groq.com](https://console.groq.com/keys) | | **Gemini** | gemini-1.5-flash | ✅ Yes — free tier available | [aistudio.google.com](https://aistudio.google.com/app/apikey) | ## 🚀 快速开始 ### 1. 打开应用 访问 **[falsepositiveguru.github.io/soc-playbook-generator](https://falsepositiveguru.github.io/soc-playbook-generator/)** ### 2. 选择您的 AI 提供商 点击侧边栏中的四个提供商按钮之一——Anthropic、OpenAI、Groq 或 Gemini。 ### 3. 输入您的 API 密钥 粘贴您的 API 密钥——获取每个提供商密钥的直接链接在侧边栏中显示。密钥会自动保存在浏览器的本地存储中。 ### 4. 描述事件 输入自然语言的威胁描述，例如： ``` Ransomware detected on Windows endpoints, lateral movement via SMB observed ``` ### 5. 生成并探索 点击 **Generate Playbook** 或按 `Ctrl + Enter`。浏览 6 个标签页，完成后导出为 PDF。 ## 🧪 示例事件 - Windows 端点上的勒索软件，通过 SMB 检测到横向移动 - 来自人力资源工作站的编码 PowerShell 执行 - Azure AD 暴力破解——10 分钟内 500+ 次登录失败 - 打开了启用宏的 Excel 附件的网络钓鱼邮件 - 内部威胁——异常的数据外传到个人云存储 - 通过第三方软件更新导致的供应链妥协 ## 📋 剧本标签页 | Tab | Contents | |---|---| | **Summary** | 严重性、威胁类型、MITRE 战术概览、事件摘要 | | **IR Playbook** | 分阶段响应步骤（识别 → 遏制 → 根除 → 恢复） | | **Detection** | SIEM 规则、SOAR 自动化动作、妥协指标 | | **Checklist** | 带有进度跟踪的交互式调查检查清单 | | **Remediation** | 优先级操作手册，带即时 / 短期 / 长期标签 | | **MITRE ATT&CK** | 附带战术背景和缓解建议的映射技术 | ## 🔐 安全与隐私 - 您的 API 密钥**仅存储在浏览器本地存储中** - 密钥**永远不会传输**到您选择的 AI 提供商以外的任何服务器 - 不存储、记录或传输任何事件数据、剧本或用户信息 - 所有 API 调用直接从浏览器发送到提供商的 API 端点 - 每个提供商的密钥单独存储——切换提供商会分开密钥 ## 🛠️ 技术栈 - **Frontend:** Vanilla HTML、CSS、JavaScript —— 零依赖 - **AI:** 您选择的 Anthropic / OpenAI / Groq / Gemini，通过 REST API - **Hosting:** GitHub Pages - **Build tools:** 无 —— 单个 `index.html` 文件，开箱即用 ## 📁 项目结构 ``` soc-playbook-generator/ ├── index.html # Complete app — single self-contained file └── README.md # This file ``` ## 🗺️ 路线图 - [ ] Playbook 历史记录——保存并回顾过去的事件 - [ ] 通过 URL 分享剧本 - [ ] 自定义威胁模板（Ransomware、APT、内部威胁、DDoS） - [ ] Slack / 邮件集成以进行团队告警 - [ ] OpenRouter 支持（使用一个密钥访问 100 多个模型） - [ ] 多语言剧本输出 ## 👤 作者 **Suneel Baba** ([@falsePositiveGuru](https://github.com/falsePositiveGuru)) 安全运营 · 威胁检测 · 事件响应 ## ⚠️ 免责声明 本工具仅供授权的安全运营使用。生成的剧本由 AI 辅助，应在合格的安全专业人员审核后，在生产环境中执行。该工具不会存储、记录或传输任何事件数据，超出您选择的 AI 提供商 API 调用范围。 *Built with ❤️ for the SOC community · Star ⭐ the repo if you find it useful!*

标签：Anthropic, CIS基准, Cloudflare, DLL 劫持, Gemini, KQL, MITRE ATT&CK, OpenAI, PDF导出, SOAR, 人工智能, 修复演练, 内存规避, 前端安全, 剧本生成, 即时生成, 后端开发, 多模型支持, 大语言模型, 威胁情报, 库, 应急响应, 开发者工具, 数据可视化, 无依赖, 检查清单, 浏览器端存储, 用户模式Hook绕过, 结构化响应, 网络安全, 网络安全, 隐私保护, 隐私保护