audin30/vbg_incident_response

# 事故响应代理：调查专家 一个专为资深事故响应调查员打造的代理化工作区，基于 Gemini CLI 构建。该项目将 Gemini CLI 转变为一个高保真的分诊与调查工具，可自动化 IoC 提取、日志分析及威胁情报富化。 ## 🚀 核心功能 - **客观角色**：强制执行严格的、基于证据的事故响应角色，避免推测并清晰说明置信度。 - **高效日志分析**：利用原生 CLI 工具（`grep`、`awk`、`jq`）高速解析本地日志文件，避免 LLM 上下文过载。 - **自动化 IoC 提取**：使用高保真模式匹配，从非结构化文本或警报中提取 IP、哈希、域名和文件路径。 - **TI 集成**：设计为可原生对接现有威胁情报技能（`ti-master-enricher`、`virustotal-checker`、`alienvault-otx`）。 - **结构化分诊报告**：自动关联本地日志事件与全球威胁上下文，生成连贯、可操作的报告。 ## 📁 项目结构 ``` . ├── GEMINI.md # Core agent instructions, persona, and workflows ├── MEMORY.md # State tracking for active investigations ├── README.md # Project documentation └── tests/ └── samples/ # High-fidelity test data (alerts, logs, sample reports) ``` ## 🛠️ 使用方法 ### 1. 提取 IoC 将代理指向一条警报或一段文本，以识别可观测指标。 ### 2. 分析日志 使用代理的日志分析工作流来查找高频访问者或可疑模式。 ### 3. 完整分诊报告 结合本地证据与全球威胁情报，生成最终判定。 ## ⚖️ 核心准则 1. **只读模式**：代理仅执行调查任务。未经明确的单独指示，不会采取任何破坏性或遏制性行动。 2. **基于证据**：所有发现必须有提取的 IoC 或富化后的 TI 上下文作为依据。 3. **上下文高效**：使用 shell 命令处理大文件，而非将其完整读入 LLM 上下文。 ## 🧪 测试 `tests/samples/` 目录包含用于验证代理性能的样本数据。您可以将代理的输出与提供的 `tests/samples/triage_report.md` 基准进行对比。

标签：AMSI绕过, BurpSuite集成, Cutter, Gemini CLI, IoC提取, meg, 事件处理, 代理工作空间, 信息安全, 分类报告, 可观测数据, 威胁上下文, 威胁情报, 威胁情报集成, 威胁检测, 安全调查, 安全运营, 开发者工具, 扫描框架, 数字取证, 数据解析, 日志解析, 模式匹配, 网络安全, 自动化脚本, 自动化资产收集, 证书伪造, 证据分析, 调查代理, 隐私保护, 高级调查员