voltron-1/UIW-Cyber-Defence-Platform

# UIW 网络防御平台 一个完全开源的企业级网络防御平台，使学生分析师能够通过集成的多代理 SOAR 生态系统来监控、检测、调查、验证和响应网络威胁。 ## 🎯 愿景与成功定义 **目标不是构建一个 SIEM。** 目标是构建一种持久的网络防御能力，能够由后续几代 UIW 学生分析师进行全面扩展、分析和操作。 当学生分析师能够成功完成此 **6 步操作工作流** 时，该平台即实现了其毕业设计使命： 1. **观察**由 Adversary-in-a-Box 模拟平台安全生成的一次未预先通知的攻击。 2. **验证**OpenSearch 内原始网络和主机安全遥测数据的持续流动。 3. **观察**通过 Sigma 检测引擎干净利落地生成的一个经验证、未重复的告警。 4. **接收**由本地多代理 SOAR 框架编译的丰富、结构化的事件简报。 5. **调查**使用定制的 OpenSearch Dashboards 查看历史上下文和恶意工件。 6. **执行**一个规范、知情的缓解蓝图。 ## 🗺️ 项目增量 (PI) 路线图 该项目通过 7 个项目增量 (PI) 将传统的单主机 MVP 架构转变为一个可操作、经验证的校园平台。工作在我们的 [GitHub 项目看板](https://github.com/voltron-1/UIW-Cyber-Defence-Platform/projects) 上进行跟踪。 | PI | 核心技术目标 | 负责人 | 状态 | |---|---|---|---| | **PI-1: Foundation** | 审计遗留架构，基础设施基线加固 | @cryptgrphy | 进行中 | | **PI-2: Platform** | 迁移至 OpenSearch 集群，标准化 pipeline | @voltron-1 | 未开始 | | **PI-3: Detection** | 验证 Sigma 规则，映射至 MITRE ATT&CK 看板 | @sterlinggarnett | 进行中 | | **PI-4: Adversary** | 自动化 Adversary-in-a-Box 验证 playbook | @voltron-1 | 进行中 | | **PI-5: SOAR Core** | 配置容器化的 Python MAS 和 Ollama 基础设施 | @voltron-1 | 进行中 (响应和合规代理) | | **PI-6: Operations** | 开发学生分析师运维指南和培训实验室 | @cryptgrphy | 未开始 | | **PI-7: Capstone** | 执行端到端操作序列演示 | 全员参与 | 未开始 | ## 🏗️ 技术架构 | 组件 | 目标技术 | 状态 | 生态系统角色 | |---|---|---|---| | **基础设施底座** | Ubuntu Linux | **当前** | 经过加固的逻辑节点，用作隔离的实验室基线环境。 | | **中央索引与 SIEM** | OpenSearch Cluster | **路线图 (PI-2)** — 当前为 **Elasticsearch 9.3.2** | 遥测数据提取、字段解析、关联索引的唯一事实来源。 | | **可视化平面** | OpenSearch Dashboards | **路线图 (PI-2)** — 当前为 **Kibana 9.3.2** | 统一的分析师监控工作区、指标报告、可视化威胁狩猎。 | | **网络遥测** | Suricata NIDS | **路线图** — 当前为 **Zeek** (OpenWrt SPAN 捕获) | 无源网络入侵检测。 | | **主机遥测** | Wazuh HIDS | **路线图** — 过渡期：**Sysmon + Winlogbeat** (见 `docs/SOP-002-endpoint-telemetry.md`) | 端点进程/主机遥测数据进入 pipeline。 | | **AI 执行引擎** | Ollama (本地) | **部分完成** — SOAR 默认使用本地 Ollama；托管出口受限 | 本地化的 LLM 引擎，确保遥测数据保留在校园内。 | | **SOAR 框架** | 定制 Python MAS (4 个代理) | **部分完成** — 已构建 **响应与合规**；Threat Hunter / CTI / Agent Bus 为 **路线图 (PI-5)** | 多代理告警丰富化、分类、报告。 | | **模拟引擎** | Adversary-in-a-Box | **当前** — 本地模拟脚本 (`tests/anomaly_simulation/`) | 模拟真实世界的威胁行为。 | ## 🧠 多代理系统 (MAS) 自动化编排层**设计**为由四个专门的 Python 代理通过内部 Agent Communication Bus 执行。**当前状态：**已实现 **Response Agent** (`scripts/setup/ai_agent/agent_app.py`) 和 **Compliance Agent** (`scripts/setup/ai_agent/weekly_ciso_report.py`)；**Threat Hunter Agent**、**CTI Agent** 和 **Agent Communication Bus** 处于 **路线图 (PI-5)** 阶段。 1. **Response Agent (SOAR 核心)：**通过 webhook 摄取自动化的 OpenSearch 告警，编译事件简报，并为人工审批构建规范性的遏制蓝图。 2. **Threat Hunter Agent：**执行持续的 15 分钟定时任务，查询 OpenSearch 索引以发现行为异常和低频缓慢的攻击模式。 3. **CTI Agent：**通过外部 OSINT 信息源 (VirusTotal, AlienVault OTX) 进行威胁情报丰富化，以提取声誉置信度指标。 4. **Compliance Agent：**将操作性的 OpenSearch 数据汇总为正式的每周执行摘要，捕获 MTTD、MTTR 和 NIST CSF 映射。 ## 🛡️ 架构不变量 为了保证运营完整性和数据安全，强制执行 5 项设计不变量。任何变更都需要经过正式的变更管理审查。 1. **加固优先不变量：**在主机通过基线加固验证之前，不会配置任何组件。 2. **遥测数据保留在校园内：**实验室遥测数据严禁离开物理大学硬件。本地化的 Ollama 负责处理所有敏感数据。 3. **记录在案的人员不变量：**自主遏制权限明确超出范围。每一项缓解措施都需要学生分析师的明确人工授权。 4. **单一事实来源：**集中的 OpenSearch 集群作为绝对权威的日志索引。 5. **需要书面授权：**如果没有活跃、已签署的交战规则 文件，任何攻击性模拟脚本都不得针对 UIW 基础设施执行。 6. **框架可追溯性要求：**如果没有 NIST CSF 2.0 和 MITRE ATT&CK 元数据，任何检测规则或 SOP 都不会被合并，因此每个工件都可以向上追溯到治理层。 ## 🧭 战略框架架构 该平台由一个四框架模型管理。治理设定了*何为良好*的标准；SOC-CMM 衡量*我们的成熟度*；MITRE ATT&CK 衡量*我们能看到对手的多少部分*。每个仓库工件都向上追溯到至少一个 CSF 2.0 功能，并在适用情况下追溯到 ISO 27001:2022 附录 A 控制。 ``` ┌─────────────────────────────────────────────────────────────┐ │ NIST CSF 2.0 / ISO 27001 │ │ (High-Level Strategy, Governance, & Compliance) │ └──────────────┬───────────────────────────────┬──────────────┘ │ │ ▼ ▼ ┌──────────────────────────────┐┌─────────────────────────────┐ │ SOC-CMM ││ MITRE ATT&CK │ │ (Operational Maturity, ││ (Detection Engineering, │ │ People, & Processes) ││ Threat Hunter Mapping) │ └──────────────────────────────┘└─────────────────────────────┘ ``` 这作为一个横切的 **框架对齐** 里程碑交付（四个工作流，WS-A...WS-D），叠加在 PI 路线图上。完整的计划、差距分析和完成定义位于 [`docs/internal documents/UIW_Strategic_Framework_Alignment_Plan.md`](docs/internal%20documents/UIW_Strategic_Framework_Alignment_Plan.md) 中。 | 工作流 | 框架层 | 核心交付物 | |---|---|---| | **WS-A** | NIST CSF 2.0 / ISO 27001 | 治理包、CSF 2.0 配置文件 (新增 **Govern**)、ISO 27001 附录 A SoA | | **WS-B** | SOC-CMM | 评分的成熟度基线、角色/RACI、指标目录、重新评估节奏 | | **WS-C** | MITRE ATT&CK | Navigator 层 (生成的)、感知遥测的覆盖记分卡、检测生命周期/QA | | **WS-D** | 可追溯性 | 主 CSF↔ISO↔SOC-CMM↔ATT&CK 矩阵 + CI 强制执行 | ## 🚫 延期范围 为了确保为 Capstone 交付核心平台，以下内容明确超出范围： - 企业级工单系统集成 (例如，Jira, ServiceNow) - 专用的资产发现扫描平台 - 自主的零点击遏制执行 - 校园范围的车队日志摄取 (仅限于实验室子网) - 付费的商业威胁情报平台 ## 📁 仓库结构 ```text / (根目录) ├── README.md # 你在这里 ├── LICENSE # MIT 许可证 ├── /configs # 核心组件配置 │ ├── logstash.conf # Logstash pipeline (已部署副本的镜像) │ ├── /network, /server # filebeat.yml / winlogbeat.yml + Kibana NDJSON 导出 │ ├── /zeek, /intel # Zeek 传感器 + 威胁情报配置 │ └── /opensearch # (计划中) OpenSearch 索引模板 — PI-2 ├── /governance # 治理与合规层 (WS-A/B/D) │ ├── exclusion_list.txt # SOAR 永久白名单 (单一事实来源) │ ├── /policies # (计划中) 实验室安全策略 — WS-A │ ├── /soc-cmm # (计划中) SOC-CMM 成熟度评估 — WS-B │ ├── nist-csf-2.0-profile.md # (计划中) CSF 2.0 当前/目标配置文件 — WS-A │ ├── iso27001-annexA-mapping.md # (计划中) ISO 27001:2022 附录 A 映射 — WS-A │ └── traceability-matrix.md # (计划中) CSF ↔ ISO ↔ SOC-CMM ↔ ATT&CK — WS-D ├── /docs # 技术文档 │ ├── /legacy # 遗留的 Suburban-SOC 归档 │ ├── /internal documents # 架构、项目和框架对齐计划 │ ├── /detections # SIEM KQL 文档 ( + (计划中) ATT&CK 记分卡 — WS-C ) │ ├── /operations # (计划中) 角色/RACI、指标目录 — WS-B │ └── /playbooks # 事件响应 playbook ├── /evidence # Pipeline 证明、验证日志和 Kibana 截图 ├── /reports # Compliance Agent 输出和覆盖率报告 ├── /rules # Sigma 检测工程仓库 │ ├── /sigma # Sigma 源规则 (ATT&CK 标记) │ ├── /elastic_watcher # 生成的 Elastic 检测规则 NDJSON │ └── /attack # (计划中) ATT&CK Navigator 覆盖层 — WS-C ├── /scripts # 自动化、SOAR 代理和设置脚本 │ ├── /agile # GitHub CLI 看板管理脚本 │ ├── /hive-mind-broker # 实验性 IP 封禁 SOAR 代理 (未集成 — issue #109) │ └── /setup # 基础设施配置 │ ├── /ai_agent # SOAR 代理 (响应=agent_app.py, 合规=weekly_ciso_report.py) │ └── docker-compose.yml # 集中式的 SIEM + MAS 堆栈定义 └── /tests # Logstash pipeline 和 Agent Bus 的单元测试 ```

标签：AI风险缓解, AMSI绕过, DNS 反向解析, ELK, Metaprompt, SOAR, 内容过滤, 多智能体, 威胁检测, 安全运营, 扫描框架, 请求拦截, 越狱测试, 逆向工具