amareshhebbar/LogPoseSIFT

# LogPoseSIFT 一个基于 SIFT Workstation 构建的自主、多智能体数字取证与事件响应 (DFIR) 编排器。 通过类型安全的自定义 MCP Server，在加速事件分类的同时保护证据完整性。 [ 探索文档 ] | [ 报告 Bug ] ## 功能特性 LogPoseSIFT 为事件响应人员配备了一个 AI 驱动的分类系统，该系统以机器级速度运行，且不损害取证的可靠性。以下是您可以执行的操作： * **类型安全的工具执行：** 将原始的 SIFT 命令行工具（如 Volatility 和 Plaso）作为严格类型的 Golang API 端点公开，从物理层面防止证据篡改和破坏性命令。 * **多智能体编排：** 通过在专门的 AI 智能体（例如 Memory 专家、Disk 专家、Synthesizer）之间路由任务，分解复杂的取证工作负载，从而防止上下文窗口性能退化。 * **自我纠正的执行循环：** 利用有界的迭代上限，允许智能体捕获错误、调整参数并重试工具执行，而不会陷入无限的对话循环。 * **结构化执行日志：** 生成透明的、程序化结构的日志，详细记录完整的工具执行序列、智能体之间的通信以及供裁判审查和审计的 token 使用情况。 * **上下文窗口优化：** 在将数据返回给 LLM 之前，将海量的终端输出解析为干净、简洁的 JSON 结构，确保系统仅处理高度相关的工件。 **为何重要：** 这些功能使安全团队和从业人员能够匹配自主威胁参与者的速度，将初始分类时间从数小时缩短至数秒，同时保持绝对的证据完整性。 ## 安装 LogPoseSIFT 旨在 SANS SIFT Workstation 环境中本地运行。 ### 前置条件 * SANS SIFT Workstation 虚拟机 (基于 Ubuntu 22.04) * 已安装 Golang 1.21+ * 已安装 Protocol SIFT 基线 首先，将仓库克隆到您的 SIFT 工作区： ``` git clone [https://github.com/gvamaresh/logposesift.git](https://github.com/gvamaresh/logposesift.git) cd logposesift ``` ## 快速开始 初始化 Go 模块并构建自定义 MCP Server： ``` go mod tidy go build -o logposesift-mcp cmd/sift-mcp/main.go ``` ### 执行 提供您的 API 凭证，并针对目标证据文件执行编排器： ``` export API_KEY="your_api_key_here" ./logposesift-mcp --target /path/to/evidence.raw --mode triage ``` **预期启动输出：** ``` 2026-04-28 15:42:10.157 | INFO | logposesift.server:main - Starting LogPoseSIFT Custom MCP Server 2026-04-28 15:42:10.160 | INFO | logposesift.wrappers:load - Initializing typed wrappers for Volatility3, Plaso 2026-04-28 15:42:10.165 | INFO | logposesift.agents:orchestrator - Agent routing logic loaded INFO: Waiting for application startup. INFO: Server running on [http://127.0.0.1:8718](http://127.0.0.1:8718) (Press CTRL+C to quit) ``` ## 架构详情 LogPoseSIFT 采用混合架构： 1. **自定义 MCP Server (Golang)：** 充当安全边界。它封装了 200 多个原始 SIFT 工具。LLM 无法执行原始 shell 命令；它只能调用预定义的函数，如 `analyze_memory()` 或 `extract_timeline()`。 2. **智能体逻辑 (Python/Go)：** 管理状态和路由。一个 Synthesizer 智能体评估整体案例并将定向请求分派给特定领域的智能体，强制执行严格的 `--max-iterations` 以防止失控的 token 消耗。 ## 路线图和未来目标 * **实时端点集成：** 扩展 MCP Server 以从 SIEM 或远程端点拉取实时数据。 * **扩展的工具封装：** 为剩余的 150 多个 SIFT 命令行实用程序添加严格的 JSON 解析。 * **基准测试工具：** 发布自动化准确性框架，以针对已知良好的磁盘镜像测量误报情况。 ## 贡献 欢迎对 LogPoseSIFT 作出贡献。在提交拉取请求之前，请阅读贡献指南。

标签：AI安全, AI智能体, Chat Copilot, DAST, DLL 劫持, Golang, MCP服务器, SANS SIFT, SecList, SIFT工作站, 上下文窗口优化, 事件分诊, 内存取证, 多智能体, 大语言模型, 子域名变形, 安全编程, 审计, 库, 应急响应, 恶意软件分析, 提示词模板, 攻击时间线, 数字取证, 无线安全, 日志审计, 流量嗅探, 磁盘取证, 类型安全, 结构化日志, 网络安全, 自主安全系统, 自动化应急响应, 自动化脚本, 证据保全, 逆向工具, 隐私保护