moha2255/AutoSOC-System

# 🛡️ AutoSOC：智能自动化事件响应与威胁管理系统         ## 📖 项目摘要 当前的数字环境产生了指数级增长的安全事件，使得分析师难以区分相关威胁和正常的系统活动。**AutoSOC** 通过建立一个开源的警报富化流程来解决这个问题。 它利用集中式日志记录（Wazuh）、自动化编排（n8n）、外部威胁情报（VirusTotal、AbuseIPDB）以及生成式AI解释层（Google Gemini 2.5 Flash / Groq），将复杂的遥测数据融合成简洁易读、具有可操作见解的安全报告。在测试中，该系统成功将平均响应时间（MTTR）缩短至15秒以下。 ## ✨ 核心功能 * **自动化威胁富化：** 即时提取威胁指标（IP、哈希）并查询IP信誉和地理位置API。 * **动态风险评分：** 自定义算法，结合加权情报信号计算标准化的风险评分（0-100）。 * **生成式AI解读：** 使用 Google Gemini 将原始 JSON 日志转换为人类可读、上下文感知的 Telegram 警报。 * **自动化主动响应：** 当达到关键阈值（风险评分 > 75）时，通过 Wazuh API 在端点自动执行防火墙丢弃命令。 * **交互式AI安全助手：** 由 Groq LLM 驱动的对话式 Telegram 机器人，能够查询威胁情报并通过自然语言执行手动的“解除IP封锁”命令。 * **企业级安全运营中心仪表板：** 定制的实时仪表板，具有实时地理空间威胁映射、案件管理、MITRE ATT&CK 可视化和 Elasticsearch 驱动的威胁猎捕功能。 ## 🏗️ 系统架构（8层流水线） 该架构被设计为一个松散耦合的流水线，以实现最大可扩展性： 1. **检测层：** Wazuh SIEM/EDR + 11个自定义 MITRE 映射规则。 2. **自动化层：** n8n SOAR 工作流引擎（由 Webhook 触发）。 3. **威胁情报层：** AbuseIPDB, VirusTotal, IPGeolocation。 4. **风险评分引擎：** 自定义 JavaScript 加权共识算法。 5. **AI分析层：** Google Gemini 2.5 Flash 用于自然语言报告。 6. **主动响应关卡：** 通过 Wazuh API 自动执行 iptables/防火墙阻断。 7. **呈现层：** 自定义 HTML/JS SOC 仪表板 + Telegram 机器人。 8. **AI助手层：** Groq AI 代理 + 记忆缓冲 + Python 微服务，用于交互式解除封锁。 ## 🛠️ 技术栈 * **SIEM / EDR：** Wazuh Manager & Agents（Linux/Windows） * **SOAR / 编排：** n8n * **数据库与搜索：** Elasticsearch, MongoDB * **后端API：** Python (FastAPI, Uvicorn, Motor) * **威胁情报API：** VirusTotal, AbuseIPDB, IPGeolocation * **生成式AI：** Google Gemini API, Groq API (openai/gpt-oss-20b) * **前端：** HTML5, CSS3, JavaScript (Leaflet.js, Canvas API) * **通知：** Telegram Bot API ## 🚀 性能基准 AutoSOC 的性能显著优于传统的人工安全运营中心环境： * **平均检测时间（MTTD）：** < 3 秒 * **平均调查时间（MTTI）：** < 30 秒（相比行业基准提升 960 倍） * **平均响应时间（MTTR）：** 8-15 秒（亚分钟级自动化响应） * **误报阻断率：** 在攻击模拟测试期间为 0%。 ## 👨‍💻 作者 **穆罕默德·侯赛因·穆罕默德** *资深网络安全学生 | 开源安全爱好者* [LinkedIn个人资料] --- *作为阿拉伯开放大学-埃及（2025/2026学年）的毕业设计项目开发。*

标签：Apex, Elasticsearch, IP信誉, meg, MTTR优化, n8n, Python, SOAR, Telegram机器人, Wazuh, 人工智能, 信息安全, 动态风险评分, 地理定位, 大数据, 威胁情报, 威胁管理, 安全报告, 开发者工具, 开源, 无后门, 机器学习, 生成式AI, 用户模式Hook绕过, 目录扫描, 端点安全, 索引, 网络安全, 网络调试, 自动化, 自动威胁富化, 补丁管理, 逆向工具, 防火墙, 隐私保护, 风险评分