Ing3567/Agentic-AI-System-for-Autonomous-Incident-Response-architecture

GitHub: Ing3567/Agentic-AI-System-for-Autonomous-Incident-Response-architecture

这是一个基于 Agentic AI 构建的自动化安全运营中心系统,旨在通过集成 SIEM、SOAR 和 RAG 技术实现网络安全威胁的自主检测、分析与修复。

Stars: 0 | Forks: 0

# 🛡️ Agentic AI 自主事件响应系统 一个由 Agentic AI 驱动的自动化安全运营中心 (SOC) 生态系统。该项目集成了 SIEM、SOAR 和 RAG 技术,能够根据标准操作程序 (SOPs) 自主检测、分析和修复网络安全威胁,从而显著减轻分析师的告警疲劳。 ## 🏗️ 系统架构 该系统构建于解耦的闭环架构之上,包含四个主要逻辑层: | 层级 | 技术 | 描述 | | :--- | :--- | :--- | | **1. SIEM (传感器与执行器)** | Wazuh (v4.9.0) | 检测端点异常并通过 Agent 进程执行修复脚本 (Active Response)。 | | **2. 编排 (SOAR)** | n8n | 管理多 Agent 工作流的“大脑”。处理检测与响应之间的异步事件驱动逻辑。 | | **3. 知识库 (RAG)** | AnythingLLM | 存储 SOC Playbook 和 SOPs 的向量数据库,为 AI 提供上下文并防止幻觉。 | | **4. Web 仪表板** | Next.js, Prisma | 用于事件跟踪、时间线可视化和人工监督的集中式 Web 界面。 | ## ✨ 核心功能 * **上下文感知分流:** AI Agent 利用检索增强生成 (RAG) 在做出决策前查询历史事件数据和预定义的 SOPs。 * **自主修复:** 使用 Wazuh 的 REST API 和直接执行绕过 (`!quarantine-file.sh`) 执行零接触修复(例如,将恶意文件移动到隔离区)。 * **多 Agent 协作:** 逻辑划分任务——Agent 1 专注于威胁分析和文档记录,而 Agent 2 确定并执行修复策略。 * **集中式事件管理:** 所有 AI 操作、告警元数据和端点状态都同步到关系型数据库,以便在仪表板上进行可视化。 ## 📂 仓库结构 (Monorepo) 本项目采用 Monorepo 方法,在保持生态系统统一的同时维护关注点分离: ``` . ├── .gitignore # Security baseline (ignores .env, node_modules, etc.) ├── README.md ├── soc-api/ # Frontend & Backend (Next.js + Prisma) ├── Project_agebtic/ # Orchestration workflows & RAG (n8n + AnythingLLM) └── Wazuh/ # SIEM Configuration & Compose files ``` 🚀 快速开始 前置条件 Docker & Docker Compose Node.js (v18+) Ubuntu/Linux 端点(配置为 Wazuh Agent) 安装与设置 1. 克隆仓库 Bash ``` git clone [https://github.com/](https://github.com/)/.git cd 2. Environment Configuration (Crucial) Never hardcode passwords. Create a .env file in the /Wazuh directory and define your credentials: ``` ``` ข้อมูลโค้ด INDEXER_PASSWORD=your_secure_password API_PASSWORD=your_secure_api_password (Ensure .env is listed in your .gitignore) ``` 3. 部署服务 从各自的目录独立启动每一层: ``` Bash # 启动 SIEM Layer cd Wazuh docker compose up -d ``` ``` # 启动 Orchestration Layer cd ../Project_agebtic docker compose up -d 4. Start the Web Dashboard ``` ``` Bash cd ../soc-api npm install npx prisma generate npm run dev ```
标签:Agentic AI, AMSI绕过, AnythingLLM, MITM代理, n8n, RAG, SOAR, SOP, Wazuh, 主动响应, 向量数据库, 告警疲劳, 多智能体协作, 威胁检测, 安全仪表盘, 安全运营中心, 工作流编排, 文件隔离, 检索增强生成, 端点检测, 网络安全, 网络映射, 自主响应, 自动修复, 自动化攻击, 请求拦截, 闭环架构, 隐私保护, 零接触修复, 靶机