Qwortie/soc-triage-assistant

GitHub: Qwortie/soc-triage-assistant

一款AI驱动的Splunk告警智能分诊工具,自动化完成研判、MITRE映射、IOC提取与工单生成。

Stars: 0 | Forks: 0

# 🛡️ SOC Triage 助手 ![状态](https://img.shields.io/badge/Status-Active-brightgreen?style=flat-square) ![AI](https://img.shields.io/badge/AI-Claude-orange?style=flat-square) ![部署](https://img.shields.io/badge/Deploy-Netlify-00C7B7?style=flat-square) ![框架](https://img.shields.io/badge/Framework-MITRE%20ATT%26CK-B22222?style=flat-square) 一款由 AI 驱动的 SOC 分析师工具,它接收 Splunk 警报(以原始 JSON 粘贴或通过结构化表单输入),并在几秒钟内生成完整的分诊报告。旨在通过自动化初始分析步骤来加速 Tier-1 SOC 工作流。 **在线演示:** [soc-triage.netlify.app](https://soc-triage-qwort.netlify.app/) ## 🎯 功能介绍 粘贴一个 Splunk 警报,即可获得以下信息: - **结论** — 确认威胁 / 疑似威胁 / 可能的误报 - **MITRE ATT&CK 映射** — 策略、技术及带有直接链接的 ID - **IOC 提取** — 根据威胁情报标准对所有指标进行防武器化处理 - **遏制措施** — 带有编号、具体且可立即执行的步骤 - **升级决策** — 是否应将其提交给 IR 团队? - **分析师备注** — 注意事项及需要手动验证的内容 - **可导出的 .md 工单** — 可直接提交到您的 SOC 工单记录中 ## 🏗️ 架构 ``` Browser (index.html) ↓ POST /alert data Netlify Function (triage.js) ← API key stored as env variable ↓ POST /v1/messages Claude API (claude-haiku) ↓ Structured JSON response Browser renders triage report ``` Claude API key 绝不会在浏览器中暴露——所有 API 调用都通过 Netlify serverless 函数进行代理。 ## 🧪 示例警报 该工具包含四个用于演示的预加载示例警报: | 示例 | MITRE 技术 | 事件 ID | |---|---|---| | 密码喷洒 | T1110.003 | 4625 | | Kerberoasting | T1558.003 | 4769 | | 编码 PowerShell | T1059.001 | Sysmon EID 1 | | LSASS 内存访问 | T1003.001 | Sysmon EID 10 | ## 🚀 部署说明 ### 前置条件 - Netlify 账户(免费版即可) - 来自 [console.anthropic.com](https://console.anthropic.com) 的 Anthropic API key ### 步骤 1. Fork 或克隆此代码库 2. 部署到 Netlify(拖放文件夹,或通过 GitHub 连接) 3. 在 Netlify → Site configuration → Environment variables 中,添加: - Key: `ANTHROPIC_API_KEY` - Value: 您的 API key 4. 触发重新部署 ### 本地开发 ``` npm install -g netlify-cli netlify dev # 访问 http://localhost:8888 ``` ## 📁 仓库结构 ``` soc-triage-assistant/ ├── index.html # Frontend — form, JSON input, results UI ├── README.md └── netlify/ └── functions/ └── triage.js # Serverless proxy — calls Claude API ``` ## 🔗 相关仓库 - [SOC-Home-Lab](https://github.com/Qwortie/SOC-Home-Lab) — 产生这些警报的实验室环境 - [splunk-detection-rules](https://github.com/Qwortie/splunk-detection-rules) — 生成这些警报的 SPL 规则 - [Phishing-tickets](https://github.com/Qwortie/Phishing-tickets) — 此工具自动化的手动工单格式
标签:AI辅助分析, SOC, Splunk, 后端开发, 告警分诊, 威胁情报, 安全运营, 开发者工具, 扫描框架, 模拟器