QuisTech/cognisift-autonomous-incident-sentinel

# CogniSIFT: 自主事件响应平台 ## 🎯 问题陈述 事件响应团队在关联各种取证痕迹时面临巨大的复杂性，这导致了调查时间延长、证据处理可能失误以及分析人员疲劳。初级分析人员难以驾驭复杂的取证工作流，且组织缺乏系统性的事件分类和证据验证方法。 有效的事件响应需要用于数据关联、取证分析和质量验证的智能自动化。我们构建了CogniSIFT，旨在为取证团队提供生产级的自动化工具，用于证据处理、异常检测和具有自我验证能力的事件分析。 ## 💡 解决方案 CogniSIFT是一个全面的事件响应平台，由先进的LLM推理能力以及一个用于集成取证工具的自定义模型上下文协议（MCP）服务器驱动。该系统实现了多阶段分析管道，能够自主处理取证痕迹、执行具有自我修正能力的根因分析，并生成带有加密监管链验证的经验证事件报告。 ## 🏗️ 技术栈 | 层级 | 技术 | |---|---| | 前端 | Next.js 14 (App Router), Tailwind CSS, Framer Motion, Lucide React | | 后端 / MCP | Node.js, 自定义标准输入输出模型上下文协议 (MCP) 服务器, SIFT 框架 (取证平台) | | 核心 API | Gemini 1.5 Pro (用于无需截断的长上下文取证分析) | | 部署 | Vercel (前端, API 端点, 遥测流) | *注意：自定义标准输入输出 MCP 接口完全与模型无关，并符合 JSON-RPC 规范。* ## 🏛️ 系统架构 CogniSIFT运行一个结构化的多阶段分析管道，在TypeScript (`src/agents/`) 中实现，旨在模拟取证分析人员的工作流： ### 1. 编排主控 (`OrchestrationMaster.ts`) - **功能：** 中心协调、任务排序、状态管理和组件间通信 - **输入源：** 事件告警、分析人员查询、组件输出 - **输出：** 任务分配、状态更新、整合报告 ### 2. 数据摄取与标准化服务 - **功能：** 摄取原始取证痕迹并将其标准化为统一模式 - **处理对象：** 内存转储、系统日志、文件系统痕迹 - **输出：** 标准化数据流、完整性验证哈希值 ### 3. 取证分析引擎 - **功能：** 执行语义分析并形成取证假设 - **能力：** 大上下文关联、异常模式匹配、假设生成 - **输出：** 分析向量、疑似异常分类、置信度指标 ### 4. 战术执行服务 - **功能：** 安全地与自定义 SIFT MCP 服务器交互以进行取证分析 - **操作：** 内存取证、文件系统解析、进程树分析 - **输出：** 结构化查询结果、工具执行数据 ### 5. 证据完整性验证 - **功能：** 验证并记录所有取证操作以确保合规 - **机制：** 基于白名单的命令验证、参数清理、加密监管日志记录 - **输出：** 追加式审计日志、验证状态、合规标记 ### 6. 分析验证与自我修正 - **功能：** 对照取证模式验证中间发现 - **过程：** 交叉验证证据、置信度评分、工作流修正 - **输出：** 经验证的发现、置信度评级、补救指令 ### 7. 报告生成与补救 - **功能：** 将经验证的发现整合成结构化的事件报告 - **内容：** 取证时间线、监管链日志、补救建议 - **输出：** 事件报告 (JSON/Markdown)、可操作建议 ## 🔌 自定义 SIFT MCP 服务器 (取证编排) CogniSIFT通过标准输入输出实现了一个零依赖的模型上下文协议服务器，用于编排取证工具。 ### 安全架构: 1. **二进制白名单:** 只有预先批准的取证二进制文件可以执行 (例如, `volatility3`, `fls`, `amcache.py`) 2. **参数验证:** 严格的基于正则表达式的参数验证可防止注入攻击 3. **加密审计追踪:** 为所有工具调用维护追加式、SHA-256 链式日志 4. **失败即报错设计:** 验证错误会产生明确的 JSON-RPC 错误，防止静默失败 ### 暴露的取证工具: * `volatility_pslist`: 从内存痕迹中进行进程枚举 * `volatility_malfind`: 恶意软件注入检测与 Shellcode 扫描 * `suspicious_parent_child_analyzer`: 进程层级异常检测 * `get_amcache`: 程序执行与编译时间线提取 * `extract_mft_timeline`: 从主文件表提取文件系统时间线 * `chain_of_custody_register`: 加密验证的监管日志记录 ## 🖥️ UI 页面 ### 落地页 **目的：** 产品定位与问题演示 **组件：** 主视觉区（工作流可视化） · 主要功能（自动化、自我修正、证据完整性） · 创新展示 · 使用案例 ### 仪表板 - 事件管理 **目的：** 案例管理和事件概览的中心枢纽 **组件：** 活跃事件列表 · 状态卡片 · 性能指标 · 快捷操作 ### 仪表板 - 实时分析视图 **目的：** 实时查看取证分析执行情况 **组件：** 系统状态监视器（活跃分析管道） · 推理日志（实时分析步骤） · 证据时间线 · 建议面板 ## 🚀 开始使用 ### 1. 启动 SIFT MCP 服务器 该服务器在 `mcp-server.js` 中实现，并可以多种模式运行： ``` # 实时模式（需要安装 SIFT 二进制文件） npm run mcp # 演示模式（使用合成数据模拟取证操作） npm run mcp:demo # 重放模式（确定性的事件重放） npm run mcp:replay ``` ### 2. AI 代理 IDE 集成 **适用于 Cline (`sift_mcp_config.json`)：** ``` "mcpServers": { "cognisift-sift-mcp": { "command": "node", "args": ["/absolute/path/to/mcp-server.js", "--demo-mode"] } } ``` ### 3. 运行分析仪表板 ``` npm install npm run dev ``` 打开 [http://localhost:3000](http://localhost:3000) 访问实时分析仪表板。服务器发送事件 (SSE) 流式传输活跃案例的实时取证遥测数据。 ## 🎬 演示流程 1. **介绍：** 展示手动事件响应的操作挑战 2. **案例上传：** 加载多种取证痕迹（磁盘映像、内存转储、日志） 3. **分析激活：** 多代理管道通过自定义 MCP 服务器处理数据 4. **假设生成：** 取证分析引擎生成初始假设 5. **验证循环：** 自我修正机制对照取证模式验证发现 6. **报告生成：** 生成带有监管链验证的综合报告 7. **影响总结：** 展示速度提升和证据完整性保持 ## 📊 技术实现 CogniSIFT被构建为一个完整的事件响应平台，以应对现代取证自动化挑战： 1. **架构保障证据安全：** 严格的 MCP 接口防止未验证的命令执行，同时支持复杂的取证操作 2. **认知验证循环：** 自我修正的分析管道通过多阶段验证模拟高级取证分析人员的推理过程 3. **类型化状态管理：** 全类型化的 TypeScript 编排（`OrchestrationMaster.ts`）与结构化组件接口 4. **实时遥测：** Next.js 前端结合服务器发送事件 (SSE) 流式传输实时推理、工具调用和审计日志，确保操作透明度 *由 [QuisTech](https://github.com/QuisTech) 开发 — 构建智能取证自动化系统*

标签：AMSI绕过, Gemini API, GNU通用公共许可证, MCP协议, MITM代理, Node.js, OSV, SIFT框架, TypeScript, Vercel, 事件响应平台, 加密验证, 取证工具集成, 威胁检测, 安全插件, 异常检测, 数字取证, 网络安全, 自主分析, 自动化取证, 自动化攻击, 自动化脚本, 自我纠正, 隐私保护