Atofinite5/soc-openenv

```markdown title: SOC Incident Response OpenEnv emoji: 🛡️ colorFrom: blue colorTo: red sdk: docker app_port: 7860 pinned: false tags: - openenv - security - incident-response # SOC Incident Response — OpenEnv 一个容器化的 OpenEnv 兼容训练环境，让智能体在三个难度递增的任务中扮演一级/二级 SOC 分析师。 ## 任务 | ID | 名称 | 难度 | 最大步骤 | 终端动作 | |----|------|------------|-----------|-----------------| | task_1 | 事件分类 | 简单 | 5 | classify | | task_2 | 根因诊断 | 中等 | 8 | diagnose | | task_3 | 补救规划 | 困难 | 12 | remediate | 所有评分器都是确定性的 —— 环境内部不调用 LLM。 ## 动作空间 ``` { "action_type": "classify | query_logs | diagnose | remediate", "severity": "P1 | P2 | P3 | P4", "category": "network | application | infra | security", "query": "string", "root_cause_service": "string", "root_cause_trigger": "string", "remediation_steps": ["step 1", "step 2"] } ``` ## 观察空间 ``` { "task_id": "task_1", "step": 0, "max_steps": 5, "alert_text": "...", "log_snippet": "...", "metrics": {}, "available_actions": ["classify", "query_logs"], "context": null } ``` ## 端点 | 方法 | 路径 | 请求体 | 备注 | |--------|------|------|-------| | POST | /reset | `{}` 或 `{"task_id":"task_1"}` | 空请求体可接受 | | POST | /step | SocAction JSON | 必须包含 `action_type` | | GET | /state | — | 调试用 | | GET | /health | — | 验证器心跳 | ## 本地运行 ``` pip install -r requirements.txt uvicorn env.main:app --host 0.0.0.0 --port 7860 ENV_URL=http://localhost:7860 python inference.py ``` ## 通过 Docker 运行 ``` docker build -t soc-openenv . docker run -p 7860:7860 soc-openenv IMAGE_NAME=soc-openenv python inference.py ``` ## 基准分数（Qwen2.5-72B-Instruct） | 任务 | 预期范围 | |------|----------| | task_1 | 0.55 – 0.75 | | task_2 | 0.30 – 0.60 | | task_3 | 0.25 – 0.50 | ```

标签：AMSI绕过, API集成, Docker, HTTP/HTTPS抓包, HTTP端点, LLM无调用, NIDS, Python, uvicorn, 健康检查, 分级任务, 可观测性, 威胁检测, 安全培训, 安全运营, 安全防御评估, 容器化, 库, 应急响应, 开放环境, 态势感知, 扫描框架, 推理脚本, 无后门, 确定性评估, 网络安全, 训练环境, 请求拦截, 逆向工具, 隐私保护