deadpoet/mainframe-racf-siem-agent

GitHub: deadpoet/mainframe-racf-siem-agent

基于 crewAI 多代理和 RAG 技术的 z/OS 大型机 RACF 安全日志智能分析系统,实现威胁检测、狩猎和修复建议生成的自动化。

Stars: 0 | Forks: 0

# 大型机 RACF SIEM 智能代理 **一个能够分析合成 SMF Type 80 (RACF) 日志以检测安全事件、执行威胁狩猎并推荐针对 z/OS 的修复步骤的代理式 AI 系统。** 欢迎来到 MainframeSecurityAiZOsRacfLogAnalysis Crew 项目,由 [crewAI](https://crewai.com) 提供支持。 [![Python](https://img.shields.io/badge/Python-3.11+-blue.svg)](https://www.python.org/) [![crewAI](https://img.shields.io/badge/crewAI-0.51+-orange.svg)](https://www.crewai.com/) [![RAG](https://img.shields.io/badge/RAG-Enabled-green.svg)]() ## 🎯 项目目标 将**传统 z/OS 大型机安全性** (RACF + SMF 日志记录) 与**现代 AI 驱动的 SIEM** 功能相结合。 本项目演示了如何应用代理式 AI (crewAI + RAG) 来解释复杂的大型机安全日志——这是一项在联邦、金融和企业环境中罕见且极具价值的技能。 ## ✨ 核心功能 - **合成 SMF/RACF 日志生成器** — 创建注入了攻击场景(暴力破解、访问违规、权限提升)的真实日志 - **多代理 AI 工作流**: - **日志解析代理** — 提取并结构化原始 SMF 风格的日志 - **威胁狩猎代理** — 使用 RAG 将事件与已知的大型机攻击模式进行匹配 - **事件响应代理** — 生成通俗易懂的摘要以及针对 z/OS 的修复命令 (JCL/TSO) - **知识库** — IBM Redbooks、RACF 最佳实践以及针对 z/OS / 大型机的 MITRE ATT&CK - **专业报告** — 整洁且随时可审计的事件报告 ## 🛠️ 技术栈 - **编排**: crewAI + LangChain - **LLM**: Google Gemini (通过 Google AI Studio) - **RAG**: Chroma 向量数据库 - **数据**: JSON/CSV 格式的合成 SMF Type 80 (RACF) 日志 - **语言**: Python 3.11+ ## 📁 项目结构 mainframe-racf-siem-agent/ ├── mock_mainframe_smf.py # Synthetic log generator (with attack injection) ├── src/ │ ├── agents/ # Log Parser, Threat Hunter, Incident Responder │ ├── tools/ │ ├── knowledge_base/ # IBM Redbooks + MITRE ATT&CK documents │ └── workflows/ ├── synthetic_smf_logs.json ├── synthetic_smf_logs.csv ├── README.md └── requirements.txt ## 🚀 快速开始 1. **克隆仓库** git clone https://github.com/deadpoet/mainframe-racf-siem-agent.git cd mainframe-racf-siem-agent 2. **安装依赖** pip install -r requirements.txt 3. **生成合成日志** python mock_mainframe_smf.py 4. **运行 AI 代理(即将推出 — 正在构建中)** python run_agent.py ## 📊 示例输出 - **检测到的事件:** - 高严重性:来自 IP 192.168.45.112 的用户 BRUTEFORCE 在 8 分钟内进行了多次 RACF 登录失败(12 次尝试),目标为 TSO.LOGON。 - 可能的攻击:暴力破解凭证攻击。 - **建议操作:** REVOKE BRUTEFORCE SETROPTS REFRESH RACLIST(GENERIC) SEARCH FILTER(UID(==BRUTEFORCE)) ## 🎓 为什么这个项目很重要 - 展示了深厚的 z/OS + RACF 领域知识 - 展示了 AI 在传统系统中的实际应用(在政府和金融领域极受追捧) - 可作为网络安全分析师、云安全、GRC 和大型机安全职位的作品集展示 ## 🔮 未来改进 - 实时日志流模拟 - 与开源 SIEM 集成 (Wazuh / ELK) - Web UI (Streamlit),用于日志上传和分析 - 支持其他 SMF 记录类型(Type 30、110 等) 作者:deatpoet 专注领域:大型机安全 | 云安全 | AI 增强的网络安全
标签:Agentic AI, Chroma, Cloudflare, crewAI, CSV导出, DLL 劫持, IBM Redbooks, JCL, LangChain, MITRE ATT&CK, PoC, PyRIT, Python, RACF, RAG, SMF Type 80, TSO, z/OS, 协议分析, 合成日志生成, 向量数据库, 多智能体系统, 大型机安全, 大语言模型, 安全补救, 搜索语句(dork), 无后门, 智能体AI, 暴力破解, 权限提升, 检索增强生成, 网络安全, 访问违规, 轻量级, 逆向工具, 遗留系统现代化, 隐私保护