Shyamsundar0606/AI-Powered-SOC-Analyst-Agent

# AI 驱动的 SOC 分析师 Agent AI 驱动的 SOC 分析师 Agent 是一个基于 **React** 和 **FastAPI** 构建的网络安全仪表盘，它模拟了 SOC 分析师如何对告警进行分类、解释可疑活动、划分事件严重程度、将行为映射到 **MITRE ATT&CK**，并建议下一步的响应措施。 此版本使用自定义前端和 API 后端替代了 Streamlit，使该项目在保持相同的免费本地 SOC 分析引擎的同时，更像一个真实的产品。 ## 为什么此版本更具优势 - 使用现代 React 前端代替 Streamlit - 在 SOC 分析引擎之上封装了 FastAPI 后端 - UI 与分析逻辑之间实现了更好的分离 - 对全栈（前端 + 后端）开发工作具有更高的作品集价值 - 仍然完全免费，可在本地运行 ## 功能特性 - 分析粘贴的日志、上传的文件、JSON 告警以及身份验证日志 - 将严重程度分类为低、中、高 或 严重 - 解释活动为何被视为可疑 - 建议具体的事件响应措施 - 在聊天面板中提出后续调查问题 - 将检测结果映射到 MITRE ATT&CK 技术 - 直接在仪表盘中跟踪近期的调查记录 ## 技术栈 - React - HTML/CSS - FastAPI - Python - 本地启发式 SOC 分析引擎 ## 项目结构 ``` AI-Powered-SOC-Analyst-Agent/ |-- backend.py |-- requirements.txt |-- frontend/ | |-- package.json | |-- vite.config.js | |-- index.html | |-- src/ | |-- App.jsx | |-- main.jsx | |-- styles.css |-- data/ | |-- sample_alerts.json | |-- sample_auth_logs.txt | |-- recent_investigations.json |-- src/ | |-- agent.py | |-- history.py | |-- models.py | |-- parsers.py ``` ## 后端设置 1. 创建并激活虚拟环境 2. 安装 Python 依赖 ``` pip install -r requirements.txt ``` 3. 运行后端 API ``` uvicorn backend:app --reload ``` 后端将在 `http://127.0.0.1:8000` 上运行。 ## 前端设置 1. 打开第二个终端 2. 进入前端文件夹 ``` cd frontend ``` 3. 安装前端依赖 ``` npm install ``` 4. 启动 React 应用 ``` npm run dev ``` 前端将在 `http://127.0.0.1:5173` 上运行。 ## 演示流程 - 加载示例身份验证日志并分析暴力破解类型的告警 - 加载示例 JSON 告警包，并对比身份验证、端点和数据外发类型的案例 - 在聊天中提出如下问题： - `为什么这很可疑？` - `分析师首先应该做什么？` - `接下来应该检查什么证据？` ## 简历项目名称 **用于自动化威胁检测与事件响应的 AI 驱动 SOC 分析师 Agent**

标签：AI安全助手, AI驱动, AMSI绕过, AV绕过, CISA项目, FastAPI, IP 地址批量处理, MITRE ATT&CK映射, Python, React前端, SOC分析, SOC分析师, Vite, 严重性评估, 前后端分离, 告警分类, 威胁检测, 子域名变形, 安全仪表盘, 安全取证, 安全合规, 安全告警分析, 安全态势感知, 安全运营中心, 插件系统, 无后门, 本地启发式引擎, 红队行动, 网络代理, 网络安全, 网络映射, 调试辅助, 逆向工具, 隐私保护