kkroth0/soc-sentinela

GitHub: kkroth0/soc-sentinela

一个面向 SOC 的 AI 驱动网络威胁情报与漏洞管理机器人，自动收集、富化威胁情报并关联资产 CVE，通过 Telegram 推送优先级告警。

Stars: 1 | Forks: 0

# 🛡️ SOC Sentinel ![Python](https://img.shields.io/badge/Python-3.12-blue.svg) ![AI](https://img.shields.io/badge/AI-Groq%20Llama--3.3--70B-blueviolet.svg) ![Interface](https://img.shields.io/badge/Interface-Telegram-blue.svg) ![Deploy](https://img.shields.io/badge/Deploy-Docker-2496ED.svg) 用于 SOC 的**网络威胁情报 (CTI)**与**漏洞管理 (CVE)**机器人，集成了 **Telegram**。它收集威胁情报和 CVE 反馈，利用 AI 进行丰富处理，并发送专为分析师准备好的警报——全天候 24/7 自动运行。 ## 它的功能 - 从 32 个 RSS 源（厂商的 PSIRT + 安全新闻）**收集 CTI**，并抓取每篇文章的完整内容。 - **丰富每项分析**：通过 AI 生成摘要、IoCs（IP/域名/hash）、CWE、**受攻击的行业和国家**、**TTPs (MITRE ATT&CK)** 以及相关 CVE。 - 监控来自 NVD 的 **CVE**，与您的**资产清单**（按厂商/产品）进行关联，并根据 **CVSS + EPSS + CISA KEV** 确定优先级。 - 在每个 CVE 警报中**附带厂商的官方安全通告**（可在 `data/vendor_advisories.json` 中编辑）。 - **响应** Telegram 上的命令（状态、手动触发、查询）。 - 在 SQLite 中对一切进行**去重**处理，避免重复发送警报。 ## 🧰 使用的技术栈 | 层级 | 技术 | | --- | --- | | **编程语言** | Python 3.12 | | **交互界面** | Telegram Bot API（通过 `requests` 进行 long polling） | | **AI** | **Groq** — Llama 3.3 70B（翻译、执行摘要、提取 IoCs） | | **CTI 来源** | 通过 `feedparser` 获取 RSS（Fortinet PSIRT、Cisco PSIRT、MSRC、CISA、Ubuntu、Debian、Red Hat、BleepingComputer、HackerNews、SANS 等） | | **Web 抓取** | `Scrapling` — 快速 Fetcher (curl_cffi) + **StealthyFetcher**（Chromium，规避反爬虫/Cloudflare） | | **CVE 来源** | **NVD** (NIST) + **EPSS**（漏洞利用概率）+ **CISA KEV** | | **信息丰富** | MITRE ATT&CK (TTPs)、CWE、行业/国家、厂商安全通告 | | **资产清单** | 通过 `openpyxl` 读取 Excel 表格 | | **数据持久化** | SQLite (WAL 模式) | | **任务调度** | `APScheduler` | | **配置** | `python-dotenv` (`.env`) + `data/` 目录下的 JSON 文件 | | **部署** | Docker + Docker Compose | ### 项目结构 - **`core/`** — 数据库、日志、HTTP、AI 引擎、健康检查 - **`cti/`** — RSS 源、网页抓取、新闻评分与信息丰富 - **`cve/`** — NVD 客户端、资产匹配、风险评分与安全通告 - **`commands/`** — Telegram 交互式机器人 ## 💬 Telegram 命令 | 命令 | 动作 | | --- | --- | | `/status` | 运行时间、AI 模型、CTI/CVE 时间窗口与统计数据 | | `/iniciar` | 手动运行 CTI **和** CVE pipeline | | `/cti` (`/latest`) | 最新的 10 条 CTI 新闻 | | `/cves` (`/cve`) | 优先级最高的 10 个 CVE | | `/ativos` (`/sync`) | 同步资产清单 | | `/recarregar` | 重新加载 RSS 源、别名、安全通告与类别（热加载） | ## 🚀 如何运行 ### 1. 配置 `.env` 将 `.env.example` 复制为 `.env` 并填写： ``` TELEGRAM_BOT_TOKEN="..." TELEGRAM_CHAT_ID_CTI="-100..." TELEGRAM_ALLOWED_CHATS="..." NVD_API_KEY="..." GROQ_API_KEY="..." ``` ### 2. 使用 Docker 启动（推荐） ``` docker compose up -d --build docker compose logs -f ``` ### 3. 或者在本地运行 ``` pip install -r requirements.txt python bot.py ``` ## ⚖️ 许可证 © 2026 Matheus Andrade ([@kkroth0](https://github.com/kkroth0)). 专为 SOC 和 CTI 运营而开发。

标签：GPT, Python, Telegram机器人, 人工智能, 威胁情报, 安全运营中心, 开发者工具, 无后门, 漏洞管理, 版权保护, 用户模式Hook绕过, 网络安全, 网络映射, 请求拦截, 隐私保护