GenAIGator/agentcore-threat-intel-engine

# 威胁情报分析师 一个基于 Amazon Bedrock AgentCore 构建的 AI 驱动威胁情报平台，具备 142 个威胁行为人画像，支持 RAG 检索和对话记忆功能。 ## 功能 - **威胁行为人研究** — 查询 107 个命名组织组和 35 个通用攻击类别，附带 MITRE ATT&CK 映射、云/AWS 攻击路径和检测指导 - **桌面演练 / 紫色团队模拟** — 生成真实的演练场景并注入基于真实威胁行为人行为的战术 - **事件归因** — 描述观察到的活动，匹配最可能的威胁行为人并提供调查指导 ## 架构 ``` Streamlit App (local) --> AgentCore Runtime --> Bedrock Knowledge Base (RAG) | | v v AgentCore Memory S3 Vectors (conversation) (threat profiles) | v Claude Sonnet 4.6 ``` ## 覆盖范围 - **142 个威胁画像**（107 个命名组织组 + 35 个通用类别） - **国家行为体：** 中国（24）、俄罗斯（29）、朝鲜（9）、伊朗（10）、印度（2）、白俄罗斯、越南、巴基斯坦、黎巴嫩 - **网络犯罪：** 勒索软件/RaaS、商业邮件诈骗、数据勒索、金融欺诈、信息窃取器、初始访问经纪人 - **黑客活动分子：** Anonymous、Killnet、GhostSec、SiegedSec、NoName057(16) 等 - **攻击模式：** 供应链攻击、云滥用、身份窃取、OT/ICS、擦除器、利用 living-off-the-land、CI/CD 妥协等 ## 先决条件 - 具备 Bedrock 模型访问权限的 AWS 账户（Claude Sonnet 4.6、Titan Embeddings v2） - 已配置 AWS CLI - 安装 `streamlit` 和 `boto3` 的 Python 3.10+ - 用于威胁画像和代理代码的 S3 存储桶 ## 部署 ### 1. 启用模型访问 如果您尚未使用 Claude Sonnet 4.6 或 Titan Embeddings v2，请前往 [Amazon Bedrock 控制台](https://console.aws.amazon.com/bedrock/)，导航至 **Model access**，并为这两个模型提交使用场景。审批可能需要最多 15 分钟。获批后，订阅这些模型并等待最多 2 分钟以激活访问权限。 ### 2. 创建 S3 存储桶并上传威胁画像 ``` aws s3 mb s3://YOUR-BUCKET-NAME --region us-east-1 aws s3 sync threat-profiles/ s3://YOUR-BUCKET-NAME/threat-profiles/ ``` ### 3. 部署知识库堆栈 如果存储桶名称不同，请在模板中更新 `S3BucketName`。 ``` aws cloudformation create-stack \ --stack-name threat-intel-kb \ --template-body file://cloudformation/bedrock-knowledge-base.yaml \ --capabilities CAPABILITY_NAMED_IAM \ --region us-east-1 ``` 等待完成，然后获取知识库 ID： ``` aws cloudformation describe-stacks --stack-name threat-intel-kb \ --query 'Stacks[0].Outputs[?OutputKey==`KnowledgeBaseId`].OutputValue' --output text ``` 触发摄取： ``` aws bedrock-agent start-ingestion-job \ --knowledge-base-id YOUR_KB_ID \ --data-source-id YOUR_DATASOURCE_ID \ --region us-east-1 ``` ### 4. 上传代理代码并部署 AgentCore 堆栈 ``` aws s3 cp agentcore_app/agent-code.zip s3://YOUR-BUCKET-NAME/agentcore/agent-code.zip aws cloudformation create-stack \ --stack-name threat-intel-agentcore \ --template-body file://cloudformation/agentcore-stack.yaml \ --capabilities CAPABILITY_NAMED_IAM \ --region us-east-1 ``` ### 5. 运行 Streamlit 应用 ``` pip install streamlit boto3 cd agentcore_app streamlit run app.py ``` 该应用会自动从 CloudFormation 堆栈输出中发现运行时 ARN。 ## 文件结构 ``` cloudformation/ bedrock-knowledge-base.yaml # KB + S3 Vectors + data source agentcore-stack.yaml # Runtime + Memory + Endpoint + IAM agentcore_app/ main.py # Agent code (deployed to AgentCore Runtime) app.py # Streamlit UI (runs locally) config.py # Auto-discovers config from CloudFormation agent-code.zip # Pre-built deployment package (Linux ARM64) AGENTCORE_GUIDE.md # Detailed reference guide threat-profiles/ # 1630 JSON files (142 profiles x ~11 files each) LICENSE # Apache License 2.0 NOTICE # Copyright notice ``` ## 更新威胁画像 1. 在 `threat-profiles/` 中添加/编辑 JSON 文件（每个文件保持在 1050 字节以内） 2. 同步到 S3：`aws s3 sync threat-profiles/ s3://YOUR-BUCKET-NAME/threat-profiles/ --delete` 3. 重新索引：`aws bedrock-agent start-ingestion-job --knowledge-base-id YOUR_KB_ID --data-source-id YOUR_DS_ID --region us-east-1` 无需重新部署代理 — 知识库在运行时查询。 ## 更新代理代码 有关打包和部署的详细说明，请参阅 [AGENTCORE_GUIDE.md](agentcore_app/AGENTCORE_GUIDE.md)。 ## 成本 低使用量工作负载的成本极低。AgentCore Runtime、Memory、S3 Vectors 和 Bedrock 模型调用的费用均为按用量计费，无空闲费用。有关当前费率，请参考 [AWS 定价](https://aws.amazon.com/bedrock/pricing/)。 ## 免责声明 详见 [DISCLAIMER.md](DISCLAIMER.md)。 本项目及相关内容仅提供用于 **教育和研究目的**。 该项目使用开源软件和亚马逊网络服务（AWS）云基础设施。威胁行为人画像、攻击场景和情报内容主要通过人工智能系统生成，并基于公开可用的威胁情报报告。部分材料描述了现实世界中的攻击技术、战术和程序（TTPs），并包含涉及对抗活动的桌面演练场景和紫色团队模拟。此内容仅用于支持防御性安全研究、事件响应培训和教学目标。 任何生成的内容、威胁评估、归因分析或模拟场景均不代表作者的个人观点、意见或信念。 本项目独立开发，与任何当前或以前的雇主无关、不受其认可，也不代表其。任何项目内引用的组织、系统、个人或系统均为假设性、虚构性或仅用于说明目的。任何与真实组织、系统或个人的相似性，无论是明示或暗示的，纯属巧合且非故意。 用户有责任确保使用本项目进行的研究或测试符合适用法律、法规和组织政策。本项目材料仅应用于您已获得明确授权的系统。 作者不对本项目的误用或由此产生的任何后果承担任何责任或 liability。

标签：AgentCore, Amazon Bedrock, ATT&CK框架, AWS, BEC, CI/CD compromise, Claude Sonnet 4.6, Cloudflare, DPI, Kubernetes, MITRE ATT&CK, OT/ICS, RAG, S3, SEO威胁情报, Streamlit, Tabletop演练, Titan Embeddings, TTP映射, 事件归因, 云平台安全, 云滥用, 云端威胁分析, 代理, 供应链攻击, 初始访问代理, 勒索软件, 威胁情报, 威胁行为体分析, 威胁行为体画像, 安全情报, 对话记忆, 开发者工具, 擦除器, 无文件攻击, 检索增强生成, 流式应用, 漏洞探索, 生成式AI, 生成式AI安全, 索引, 紫队模拟, 网络犯罪, 虚拟机, 访问控制, 身份盗窃, 逆向工具