QueenKM/soc-incident-triage-assistant

# SOC 事件分级助理 一个面向安全运营团队的项目组合，将原始告警上下文转化为快速、适合招聘者查看的分级体验。

## 预览  ## 为何选择此项目 `SOC 事件分级助理` 旨在展示云安全、事件响应与应用 AI 产品思维之间的重叠。 本入门项目重点关注： - 摄入本地样本集的告警载荷 - 生成确定性的分级摘要 - 呈现 containment 操作与调查后续步骤 - 为演示提供轻量级浏览器 UI ## 当前入门范围 - 仅使用 Python 标准库的本地 Web 应用 - 灵感来自 Microsoft 安全工作流的示例告警 - 用于重复演示的确定性分级引擎 - 可操作的建议、 containment 步骤与 KQL 建议 - Markdown 与 JSON 事件简报导出 - 核心分级逻辑的单元测试 ## 本地运行 ``` cd path/to/soc-incident-triage-assistant python3 -m app.server ``` 然后打开： ``` http://127.0.0.1:8090 ``` ## 项目结构 - `app/server.py`：本地 Web 服务器与 JSON 端点 - `app/models.py`：告警与分级报告数据结构 - `app/triage_engine.py`：确定性分级逻辑 - `data/sample_alerts.json`：演示输入告警 - `web/index.html` 与 `web/styles.css`：轻量级 UI - `docs/architecture.md`：架构与路线图 - `tests/test_triage_engine.py`：单元测试 ## 下一步里程碑 1. 添加 Azure Sentinel / Defender 导出适配器 2. 添加分析师反馈回路与案例状态跟踪 3. 添加基于 LLM 的叙事模式与 grounded evidence 提示 4. 添加观察名单丰富功能与实体时间线视图 ## 许可证 根据 MIT 许可证发布。详见 `LICENSE`。

标签：AMSI绕过, Azure Sentinel, CI, Cloudflare, Defender, DInvoke, FTP漏洞扫描, JSON导出, KQL, LLM叙事模式, Markdown导出, MITRE ATT&CK, Python标准库, 事件摘要, 分析师反馈闭环, 分析师工作台, 单元测试, 可重现演示, 告警分析, 处置建议, 威胁检测, 安全编排, 安全运营中心, 开源, 报告导出, 招聘友好, 本地开发, 查询语言, 浏览器UI, 看板丰富, 确定性引擎, 网络映射, 自动化响应, 证据溯源, 调查取证, 逆向工具