ahmeds6016/mssp-threat-hunt-agent

# MSSP 威胁狩猎 Agent 面向托管安全服务提供商（MSSP）的自主威胁狩猎。分析师通过 Microsoft Teams 用自然语言提问——Agent 会对 Sentinel 运行 KQL 查询，结合威胁情报进行关联分析，并返回基于证据支撑的分析结果。复杂的调查会启动多阶段战役，生成假设，执行数十个查询，对发现进行分类，并生成执行报告。 基于 GPT-5.3-chat、Microsoft Sentinel 和 8+ 个开源情报源构建。数据无供应商锁定——所有威胁情报均来自免费的公开来源。 ## 为什么开发此项目 MSSP 在数十个客户环境中运行相同的威胁狩猎。每次狩猎都需要高级分析师编写 KQL，交叉参考 MITRE ATT&CK，检查 CVE 数据库并生成报告。该 Agent 实现了该工作流程的端到端自动化，同时保持分析师的掌控权。 ## 功能特性 - **随心提问** —— CVE 暴露检查、登录分析、检测规则生成、MITRE 查询、风险评估 - **自主战役** —— 5 阶段深度调查：环境索引、假设生成、KQL 执行（30-60 个查询）、发现分类、报告交付 - **威胁情报增强** —— IP 信誉（TOR、僵尸网络、100+ 个拦截列表）、恶意软件家族归属、漏洞利用概率评分（EPSS）、LOLBin 检测 - **递归学习** —— 每次战役都建立在先前的发现之上，避开已知的误报，重用有效的查询模式 - **基于真实数据** —— 每个结论都有具体的 Sentinel 查询结果、事件计数和实体名称作为支撑 ## 架构 ``` Analyst → Copilot Studio → Power Automate Flow → POST /api/v1/ask | GPT-5.3 classifier | chat (15-45s) | campaign (5-15min) | 12 tools, 8 intel sources Microsoft Sentinel KQL ``` ## 快速开始 ``` # 克隆 git clone https://github.com/ahmeds6016/mssp-threat-hunt-agent.git cd mssp-threat-hunt-agent # 安装 pip install -e ".[dev]" # 运行测试（无需凭据 —— 使用 mock adapters） pytest tests/ -x -q # 892 passed # 部署到 Azure（完整指南见 docs/deployment.md） cp local.settings.json.template local.settings.json # 填写 Azure 凭据，然后： python infra/build_zip.py ... ``` ## 仓库结构 ``` src/mssp_hunt_agent/ ├── agent/ # Agent loop, GPT-5.3 classifier, 12 tools, system prompt ├── hunter/ # Campaign orchestrator, 5 phases, learning engine ├── adapters/ # Sentinel + LLM adapters (real + mock) ├── intel/ # CVE, MITRE, threat intel, LOLBAS, Sentinel rules ├── persistence/ # SQLite — campaigns, findings, lessons ├── detection/ # KQL rule generation and validation ├── risk/ # Risk simulation and attack path analysis └── config.py # Environment-based configuration azure_function/ # Azure Function entry point + API specs infra/ # Deployment scripts + data ingestion tests/ # 892 tests + live evaluation runners docs/ # Architecture, deployment, API, integrations ``` ## 文档 | 文档 | 涵盖内容 | |----------|---------------| | [架构](docs/architecture.md) | 系统设计、异步模式、数据流 | | [工作原理](docs/how-it-works-v7.2.md) | 分步请求生命周期 | | [API 参考](docs/api.md) | 端点、请求/响应示例 | | [部署指南](docs/deployment.md) | Azure Function 设置、Sentinel 连接、Copilot Studio | | [情报源](docs/intelligence-sources.md) | 全部 12 个数据源及集成详情 | | [战役生命周期](docs/campaign-lifecycle.md) | 5 阶段流水线深度解析 | | [评估结果](docs/evaluation.md) | 110 个提示词实时评估、情报审计评分 | | [自定义表摄取](docs/custom-table-ingestion-guide.md) | 将攻击模拟数据导入 Sentinel | ## 当前状态 | 指标 | 数值 | |--------|-------| | 测试 | 892 个通过 | | 实时评估 | 110/110 已完成，99% 路由正确 | | 情报审计 | 47/50 (94%) | | 工具 | 12 | | 威胁情报源 | 8 个（均免费，无需 API 密钥） | | 攻击模拟数据 | 横跨 6 个 MITRE 战术的 28.7 万条事件 | | 部署 | Azure Function App (B1) + Copilot Studio | ## 贡献 本项目正在积极开发中。请参阅[路线图](docs/roadmap.md)了解计划功能。 ## 许可证 专有。保留所有权利。

标签：ChatGPT, CISA项目, Cloudflare, Copilot Studio, CVE 检测, DNS 解析, EDR, EPSS, GPT-5, IP 地址批量处理, KQL, LLM 安全, LOLBin, Microsoft Sentinel, MITRE ATT&CK, Mr. Robot, MSSP, OTX, PE 加载器, Power Automate, Promptflow, Teams 机器人, Tor 检测, Web报告查看器, 人工智能, 初始访问分析, 后渗透, 大模型, 威胁情报, 安全运营中心, 开发者工具, 异常检测, 恶意软件归因, 无线安全, 机器人检测, 横向移动检测, 流量嗅探, 漏洞利用分析, 用户模式Hook绕过, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 脆弱性评估, 自主智能体, 自动化报告, 逆向工具, 防御规避检测, 隐私保护, 风险报告