Qwortie/soc-triage-assistant
GitHub: Qwortie/soc-triage-assistant
一款AI驱动的Splunk告警智能分诊工具,自动化完成研判、MITRE映射、IOC提取与工单生成。
Stars: 0 | Forks: 0
# 🛡️ SOC Triage 助手




一款由 AI 驱动的 SOC 分析师工具,它接收 Splunk 警报(以原始 JSON 粘贴或通过结构化表单输入),并在几秒钟内生成完整的分诊报告。旨在通过自动化初始分析步骤来加速 Tier-1 SOC 工作流。
**在线演示:** [soc-triage.netlify.app](https://soc-triage-qwort.netlify.app/)
## 🎯 功能介绍
粘贴一个 Splunk 警报,即可获得以下信息:
- **结论** — 确认威胁 / 疑似威胁 / 可能的误报
- **MITRE ATT&CK 映射** — 策略、技术及带有直接链接的 ID
- **IOC 提取** — 根据威胁情报标准对所有指标进行防武器化处理
- **遏制措施** — 带有编号、具体且可立即执行的步骤
- **升级决策** — 是否应将其提交给 IR 团队?
- **分析师备注** — 注意事项及需要手动验证的内容
- **可导出的 .md 工单** — 可直接提交到您的 SOC 工单记录中
## 🏗️ 架构
```
Browser (index.html)
↓ POST /alert data
Netlify Function (triage.js) ← API key stored as env variable
↓ POST /v1/messages
Claude API (claude-haiku)
↓ Structured JSON response
Browser renders triage report
```
Claude API key 绝不会在浏览器中暴露——所有 API 调用都通过 Netlify serverless 函数进行代理。
## 🧪 示例警报
该工具包含四个用于演示的预加载示例警报:
| 示例 | MITRE 技术 | 事件 ID |
|---|---|---|
| 密码喷洒 | T1110.003 | 4625 |
| Kerberoasting | T1558.003 | 4769 |
| 编码 PowerShell | T1059.001 | Sysmon EID 1 |
| LSASS 内存访问 | T1003.001 | Sysmon EID 10 |
## 🚀 部署说明
### 前置条件
- Netlify 账户(免费版即可)
- 来自 [console.anthropic.com](https://console.anthropic.com) 的 Anthropic API key
### 步骤
1. Fork 或克隆此代码库
2. 部署到 Netlify(拖放文件夹,或通过 GitHub 连接)
3. 在 Netlify → Site configuration → Environment variables 中,添加:
- Key: `ANTHROPIC_API_KEY`
- Value: 您的 API key
4. 触发重新部署
### 本地开发
```
npm install -g netlify-cli
netlify dev
# 访问 http://localhost:8888
```
## 📁 仓库结构
```
soc-triage-assistant/
├── index.html # Frontend — form, JSON input, results UI
├── README.md
└── netlify/
└── functions/
└── triage.js # Serverless proxy — calls Claude API
```
## 🔗 相关仓库
- [SOC-Home-Lab](https://github.com/Qwortie/SOC-Home-Lab) — 产生这些警报的实验室环境
- [splunk-detection-rules](https://github.com/Qwortie/splunk-detection-rules) — 生成这些警报的 SPL 规则
- [Phishing-tickets](https://github.com/Qwortie/Phishing-tickets) — 此工具自动化的手动工单格式
标签:AI辅助分析, SOC, Splunk, 后端开发, 告警分诊, 威胁情报, 安全运营, 开发者工具, 扫描框架, 模拟器