REHAAANNN/soc-incident-response

## title: SOC 事件响应 OpenEnv emoji: "🚨" colorFrom: blue colorTo: red sdk: docker pinned: false # SOC 事件响应 OpenEnv 一个模拟分析师工作流程的 SOC 事件响应环境： - triage alerts, - isolate compromised hosts, - block malicious indicators, - and escalate incidents. 它包含确定性任务、易-中-难难度递进，以及针对部分进度的奖励机制。 ## 问题域 该环境模拟真实 SOC 团队使用的事件响应操作。 ## 任务 1. `soc_easy_malware_triage` - 调查一个恶意软件警报并隔离一个受感染端点。 2. `soc_medium_phishing_login_chain` - 关联钓鱼攻击和可疑身份验证事件，并采取账户/域隔离操作。 3. `soc_hard_lateral_movement` - 在保护取证证据的同时，遏制协调性的多主机横向移动。 ## 动作空间 - `investigate_alert` - `isolate_host` - `block_ip` - `disable_account` - `reset_credential` - `block_domain` - `collect_forensics` - `escalate_incident` - `close_incident` 每个动作使用： - `action_type` (枚举) - `target` (实体 ID 字符串) - `note` (可选) ## 观察空间 每个步骤返回： - `task_name` - `objective` - `step_count` - `max_steps` - `recent_events` - `available_actions` - `entities` (警报、主机、IP、账户、域) ## 奖励设计 - 正确完成目标获得正向奖励。 - 按顺序完成目标获得额外奖励。 - 对无效、重复或不安全的动作进行处罚。 - 每个步骤有小额成本以防止徘徊。 最终归一化分数是确定性的，范围为 `[0, 1]`，根据完成的目标计算。 ## 项目结构 - `soc_openenv/models.py`: 类型化的动作、观察、奖励和结果模型。 - `soc_openenv/tasks.py`: 易/中/难任务定义和目标计划。 - `soc_openenv/env.py`: `reset()`、`step()` 和 `state()` 的核心模拟器逻辑。 - `server/app.py`: 暴露 `/reset`、`/step`、`/state` 的 FastAPI 服务。 - `openenv.yaml`: OpenEnv 元数据。 - `inference.py`: 使用 OpenAI 客户端的基线运行器。 ## 设置 ``` pip install -r requirements.txt ``` 创建环境变量： 在 Linux/macOS 上： ``` cp .env.example .env ``` 在 Windows PowerShell 上： ``` Copy-Item .env.example .env ``` 必需： - `API_BASE_URL` - `MODEL_NAME` - `HF_TOKEN` 可选： - `ENV_BASE_URL` (默认 `http://localhost:7860`) ## 本地运行 启动环境服务器： ``` uvicorn server.app:app --host 0.0.0.0 --port 7860 ``` 运行基线推理： ``` python inference.py ``` ## Docker ``` docker build -t soc-openenv . docker run -p 7860:7860 soc-openenv ``` ## 验证 在 Git Bash/WSL 中使用 `scripts/validate-submission.sh`： ``` chmod +x scripts/validate-submission.sh ./scripts/validate-submission.sh https://your-space.hf.space . ```

标签：AMSI绕过, AV绕过, DAST, Docker, FastAPI, FTP漏洞扫描, Homebrew安装, OpenAI Gym, Python, SOAR, 威胁情报, 威胁检测, 安全培训, 安全编排, 安全运营中心, 安全防御评估, 开发者工具, 强化学习, 恶意软件分析, 无后门, 横向移动, 渗透测试模拟, 端点安全, 编程规范, 网络安全, 网络映射, 自动化响应, 补丁管理, 请求拦截, 逆向工具, 钓鱼检测, 隐私保护