zrnge/AgentZ

# AgentZ — SOC Level AI [](https://zrnge.github.io/agentz) [](https://zrnge.github.io/agentz) [](https://ollama.com) [](https://zrnge.github.io/agentz) [](LICENSE) 本地 AI 驱动的安全事件分级。将其连接到您的 SIEM，指向本地 Ollama 模型，并对每个告警即时进行分析—— nothing leaves your machine。  ## 功能 AgentZ 位于您的 SIEM 与大脑之间。它按设定间隔轮询安全平台，拉取新告警，并通过本地大语言模型为您提供简明英文分析：包括发生了什么、影响了什么、可能的攻击路径以及首要处置措施。 它适用于 SentinelOne、CrowdStrike Falcon、Microsoft Defender、Elastic SIEM、Splunk 或任何自定义 API。您也可以手动粘贴旧告警或导出的 JSON 进行分析。 所有处理均在本地完成。AI 不会接触任何外部服务器。 ## 快速开始 ### 1. 运行 Ollama 并启用跨域访问 默认情况下 Ollama 会阻止来自浏览器原点的请求。您需要设置 `OLLAMA_ORIGINS=*` 启动 Ollama，以便页面能够访问它。 **Windows (PowerShell)** ``` $env:OLLAMA_ORIGINS="*"; ollama serve ``` **macOS / Linux** ``` OLLAMA_ORIGINS="*" ollama serve ``` **Linux — 如果 Ollama 作为 systemd 服务运行** 编辑服务文件： ``` sudo systemctl edit ollama.service ``` 在 `[Service]` 下添加以下内容： ``` [Service] Environment="OLLAMA_ORIGINS=*" ``` 然后重启： ``` sudo systemctl daemon-reload sudo systemctl restart ollama ``` Ollama 运行后，如果尚未拉取模型，请执行： ``` ollama pull llama3.1 ``` 任意模型均可。较大的模型能提供更佳分析能力；llama3.1 8B 是一个不错的起点。 ### 2. 打开 AgentZ 访问 **[zrnge.github.io/agentz](https://zrnge.github.io/agentz)** 或在浏览器中本地打开 `index.html`。 ### 3. 配置 点击右上角 **⚙ Settings** 按钮。 | 设置项 | 填写内容 | |---|---| | Ollama API URL | `http://localhost:11434`（默认） | | AI 模型 | `llama3.1` 或您已拉取的模型 | | 平台 | 您的 SIEM — SentinelOne、CrowdStrike、Defender、Elastic、Splunk 或 Custom | | API 基础 URL | 您的 SIEM 控制台地址 | | API Token | 您的 API 密钥或 Bearer 令牌 | | 轮询间隔 | 检查新告警的频率（秒） | | 最低严重级别 | 过滤噪声 — 建议默认为 Medium+ | 点击 **Test Ollama Connection** 确保模型可达，然后点击 **▶ Start Agent** 启动。 ## 功能特性 - **自动轮询** — 按可配置间隔轮询 SIEM 并自动分析每个新告警 - **手动导入** — 粘贴原始 JSON、日志行或任意历史事件的纯文本并即时分析 - **AI 分析** — 提供摘要、严重性评估、影响资产、MITRE ATT&CK 映射和修复步骤 - **HTML 报告导出** — 生成可直接分享或归档的独立报告文件 - **JSON 导出** — 导出原始事件与分析结果为 JSON - **深色 / 浅色模式** — 切换并保存偏好至页眉 - **桌面通知与声音** — 收到新事件时可选择提醒 - **过滤与搜索** — 按严重性过滤，按标题或来源搜索 - **100% 本地 AI** — 所有推理在本地 Ollama 上运行，数据永不离开您的网络 ## 支持平台 | 平台 | 说明 | |---|---| | SentinelOne | 使用 `/web/api/v2.1/threats` | | CrowdStrike Falcon | 使用 `/detects/queries/detects/v1` | | Microsoft Defender | 使用 `/api/alerts` | | Elastic SIEM | 查询 `.siem-signals-*` 索引 | | Splunk | 使用 `/services/search/jobs/export` | | Custom API | 提供自定义端点 — 预期 JSON 包含 `id`、`title`、`severity` 字段 | ## 隐私 - API 令牌仅存储在浏览器会话内存中，不会写入磁盘或传输到任何位置（除了您配置的 SIEM 端点） - 如果启用“保存设置到浏览器”，Ollama URL、模型名称和平台设置将保存到 `localStorage`；令牌不会被持久化 - 所有 AI 推理均在本地 Ollama 实例上运行 ## 作者 由 **[Zrnge](https://github.com/zrnge)** 构建 ## 许可证 MIT

标签：AI风险缓解, AI驱动, AMSI绕过, Cloudflare, CrowdStrike, DInvoke, EDR, Elastic SIEM, LLM评估, Microsoft Defender, MITRE ATT&CK, Ollama, SentinelOne, SOAR, 事件分级, 即时分析, 后端开发, 威胁检测, 安全仪表板, 安全信息与事件管理, 安全大脑, 安全运营, 扫描框架, 搜索引擎爬取, 数据隐私, 智能告警分析, 本地AI, 本地大模型, 端侧推理, 终端检测与响应, 脆弱性评估, 跨平台集成