S2K7x/Trion

# Trion 自托管的安全运营中心平台。 实时告警分类、威胁情报增强和终端漂移检测。 [在线演示](https://trion-snowy.vercel.app)  ·  [SOC 仪表板文档](trion-soc/README.md)  ·  [代理文档](trion-agent/README.md)

## Trion 是什么？ Trion 是两个独立的安全工具，可以一起使用或单独使用： | 工具 | 功能 | 指南 | |------|-------------|------| | **trion-soc** | Web 仪表板 — 通过 n8n 吸纳 Wazuh 告警，增强 IOC，实时可视化威胁 | [trion-soc/README.md](trion-soc/README.md) | | **trion-agent** | 漂移检测 — 每日拍摄系统快照，检测变化，使用 AI 进行分类 | [trion-agent/README.md](trion-agent/README.md) | 两个组件互不依赖。可以仅运行仪表板、仅运行代理，或在同一主机上同时运行两者。 ## 前置条件 - **Docker Engine 24+** 及 **Docker Compose v2** (`docker compose` — 注意：无连字符) - 一个 [Supabase](https://supabase.com) 账户（免费层级即可） — 用于 SOC 仪表板 - 一个 LLM 提供商（Ollama 本地、OpenAI 或 Anthropic） — 用于漂移代理 所有 Docker 镜像均为多架构，可在 **x86_64 和 ARM64（Raspberry Pi 5）** 上运行。 ## 快速开始 ### SOC 仪表板 (n8n + 仪表板) ``` git clone https://github.com/S2K7x/Trion cd Trion/trion-soc cp .env.example .env.local # fill in Supabase credentials, dashboard password docker compose up -d --build # starts dashboard (port 3000) + n8n (port 5678) ``` 完整设置指南 → [trion-soc/README.md](trion-soc/README.md) ### 漂移代理 ``` cd Trion/trion-agent cp config.toml.example config.toml # set your LLM provider and Slack webhook docker compose up -d --build # starts agent + dashboard (port 8080) ``` 完整设置指南 → [trion-agent/README.md](trion-agent/README.md) ## 备选：交互式安装程序 如果您偏好引导式设置，`install.sh` 会提示所有值并为您编排 Docker： ``` cd Trion ./install.sh # interactive — asks for mode, credentials, starts everything ``` ## 仓库结构 ``` Trion/ ├── trion-soc/ # SOC web dashboard (Next.js + Supabase) │ ├── docker-compose.yml # n8n + dashboard — default stack │ ├── docker-compose.dev.yml # n8n only (dev / SQLite) │ ├── docker-compose.prod.yml # n8n production (PostgreSQL + Redis + Cloudflare Tunnel) │ ├── .env.example # environment variables template │ └── .env.n8n.example # n8n production env template ├── trion-agent/ # Drift detection agent (Python) │ ├── docker-compose.yml # agent + dashboard │ └── config.toml.example # configuration template ├── wazuh/ # Wazuh integration │ ├── docker-compose.yml # Wazuh single-node stack │ └── .env.example # Wazuh env template ├── demo/ # Standalone demo with mock data — no backend needed ├── docs/ # Architecture, deployment, and threat-intel docs ├── n8n_workflows/ # n8n workflow JSON files to import ├── install.sh # Interactive installer — alternative to manual Docker setup └── README.md # This file ``` ## 架构 ``` Wazuh endpoints └── n8n (soc-ingest → soc-triage → soc-error-handler) └── Supabase (PostgreSQL) └── trion-soc dashboard ← polls every 30s ← Slack alerts trion-agent (any host) └── daily snapshot diff → LLM classification └── Slack (SUSPECT / CRITICAL only) └── agent dashboard (port 8080) ``` 两个组件仅通过外部服务（Supabase、Slack）连接 — 无需共享 Docker 网络。 ## 技术栈 | 层级 | 技术 | |------|------| | SOC 仪表板 | Next.js 14 · TypeScript · Tailwind CSS · Recharts | | 代理仪表板 | FastAPI · Jinja2 · Python 3.11+ | | 自动化 | n8n（自托管） | | 数据库 | Supabase (PostgreSQL) | | SIEM | Wazuh 4.9 | | 部署 | Docker · Vercel | | LLM（代理） | Ollama · OpenAI · Anthropic | ## 文档 | 文件 | 内容 | |------|------| | [trion-soc/README.md](trion-soc/README.md) | SOC 仪表板 — 设置、环境变量、Supabase、Vercel | | [trion-agent/README.md](trion-agent/README.md) | 漂移代理 — 安装、配置、CLI、Docker | | [docs/architecture.md](docs/architecture.md) | n8n 工作流、数据流、设计决策 | | [docs/deployment.md](docs/deployment.md) | 部署模式和环境变量 | | [docs/threat-intel.md](docs/threat-intel.md) | IOC 增强 API、速率限制、支持的类型 | ## 许可证 MIT

标签：AI分类, AMSI绕过, ARM64, Docker, IOC丰富, n8n, OSV, PostgreSQL, Slack警报, SOC平台, Supabase, TypeScript, Vercel, Wazuh, 仪表板, 威胁情报丰富, 威胁检测, 安全插件, 安全运营中心, 安全防御评估, 实时警报, 容器化部署, 快照检测, 漂移检测, 端点安全, 网络安全, 网络映射, 网络调试, 自动化, 自动化攻击, 自托管, 补丁管理, 警报分类, 请求拦截, 逆向工具, 隐私保护