heroballa-blip/threat-pipeline

# 威胁检测与自动化 IR 流水线 Cloudflare 原生威胁检测与自动化事件响应流水线。 ## 状态 进行中 ## 架构 - **采集：** Cloudflare Workers 接收并规范化来自多个来源的日志 - **检测：** 基于 MITRE ATT&CK 规则的引擎 + ML 异常检测（Isolation Forest） - **富化：** AbuseIPDB、WHOIS、GeoIP、VirusTotal - **分诊：** 通过 Claude API 进行 LLM 摘要 - **剧本：** 通过 LlamaIndex 进行基于 RAG 的响应检索 - **仪表盘：** 部署在 Cloudflare Pages 上的 React 前端，由 Zero Trust 把关 ## 技术栈 Cloudflare Workers · D1 · KV · Pages · Access · Python · TypeScript · scikit-learn · Claude API

标签：AMSI绕过, Apex, CISA项目, Claude API, Cloudflare, Cloudflare Access, Cloudflare D1, Cloudflare KV, Cloudflare Pages, DevSecOps, DLL 劫持, IP 地址批量处理, LlamaIndex, LLM, MITRE ATT&CK, Python, RAG, React, scikit-learn, SOAR, Syscalls, TypeScript, Unmanaged PE, 上游代理, 云计算, 告警分诊, 大语言模型, 威胁情报, 威胁检测, 安全信息与事件管理, 安全插件, 开发者工具, 异常检测, 插件系统, 搜索引擎爬取, 无后门, 日志采集, 机器学习, 检索增强生成, 程序员工具, 网络安全, 自动化响应, 自动化攻击, 规则引擎, 边缘计算, 逆向工具, 隐私保护, 隔离森林, 零信任网络