shyamsrujan/soc-ai-playbook

# SOC AI Playbook — Shyam Srujan ## 这是什么 本仓库记录了我如何在 Tier 1 SOC 分析师工作流中将 AI 用作**力量倍增器**——并非为了取代分析师的判断，而是为了缩短从告警到做出明智决策的时间。 基于 **Splunk Boss of the SOC (BOTS) v1 数据集**构建——这是全球安全培训中使用的真实攻击模拟。 **技术栈：** Splunk Free · Claude (LLM) · MITRE ATT&CK · 结构化 Prompt Engineering ## 工作流 ``` Raw SIEM Alert │ ▼ Structured AI Prompt ←── prompt-library/tier1-prompts.md │ ▼ AI Output: MITRE mapping · severity · pivot recommendations │ ▼ Independent Analyst Verification (Splunk queries, log pivot) │ ▼ Disposition: True Positive / False Positive / Escalate │ ▼ Structured Incident Ticket ``` AI 负责：上下文映射、技术识别、工单脚手架搭建。 **我负责：最终决策。** ## 调查 | # | 场景 | MITRE 技术 | 判定结果 | 文件 | |---|----------|----------------|-------------|------| | 1 | Ransomware — BOTS v1 | T1486 Data Encrypted for Impact | True Positive | [查看 →](investigations/01-ransomware-triage.md) | | 2 | 暴力破解 / 凭据填充 | T1110 Brute Force | True Positive | [查看 →](investigations/02-brute-force-triage.md) | | 3 | C2 Beaconing / 钓鱼 | T1071 App Layer Protocol | 已升级 | [查看 →](investigations/03-c2-phishing-triage.md) | ## Prompt 库 六个用于 Tier 1 分类场景的生产级 Prompt。 → [prompt-library/tier1-prompts.md](prompt-library/tier1-prompts.md) Prompts 涵盖： - 可疑进程 / LOLBins 告警分类 - 混淆 PowerShell 解码 - 钓鱼邮件头分析 - IOC 富化摘要 - MITRE ATT&CK 技术映射 - 结构化事件工单生成 ## 演示视频 → [观看 3 分钟分类演示](demo-video-link.md) 实时屏幕录制：告警 → AI Prompt → Splunk 透视 → 判定 → 工单。 ## 为什么这很重要 有效使用 AI 的 Tier 1 SOC 分析师： - 在不牺牲准确性的前提下更快完成分类 - 编写 Tier 2 可以立即执行的清晰工单 - 将告警映射到对手 TTP，而不仅仅是关闭工单 这份 Playbook 是我对该工作流的验证——基于真实数据，而非理论。 ## 关于 **Shyam Srujan** — 伊利诺伊理工大学 计算机科学硕士 (2025 年 12 月) 前 Accenture 应用工程助理 转型进入网络安全领域 | SOC 分析师 · InfoSec 分析师 · 网络威胁分析师 CDF 志愿者网络安全分析师 [LinkedIn](https://linkedin.com/in/shyamsrujan) · [作品集](https://portfolio-rose-ten-95.vercel.app)

标签：AI 安全, AMSI绕过, BOTS 数据集, C2 通信, Claude, Cloudflare, CVE检测, DLL 劫持, DNS 反向解析, IP 地址批量处理, MITRE ATT&CK, PoC, Tier 1 分析师, 事件分类, 勒索软件, 告警分流, 大语言模型, 威胁检测, 安全剧本, 安全工作流, 安全运营中心, 提示词工程, 暴力破解, 策略决策点, 网络安全, 网络映射, 误报分析, 防御加固, 隐私保护