n-somas/ai-security-analyst

GitHub: n-somas/ai-security-analyst

基于 Python、Streamlit 和 Ollama 本地 LLM 构建的 Wazuh SIEM 告警分析平台,提供威胁评分、事件关联与 AI 辅助 SOC 分析仪表盘。

Stars: 0 | Forks: 0

# AI Security Analyst 用于分析 Wazuh Alerts 的本地 SOC 展示项目,包含 Event-Korrelation、Threat Scoring、MITRE-ATT&CK 映射以及通过 Ollama 进行的本地 KI 分析。 ## Dashboard ### Command Center Command Center 显示了关键指标、当前的风险分布、平均的 Threat Score,以及活跃的 Agents 和检测到的 MITRE 技术。 ![Command Center](https://raw.githubusercontent.com/n-somas/ai-security-analyst/main/dashboard_v4_command_center.png) ### Incident Center 在定义的时间窗口内,来自同一 Quell-IP 的多次失败登录尝试将被关联起来,并作为一个共同的 Security Incident 进行展示。 ![Incident Center](https://raw.githubusercontent.com/n-somas/ai-security-analyst/main/dashboard_v4_incident_center.png) ### 调查 Investigation 视图显示了技术性的 Alert-Details、Threat Score、风险理由、行动建议以及可选的本地 KI 分析。 ![Investigation](https://raw.githubusercontent.com/n-somas/ai-security-analyst/main/dashboard_v4_investigation.png) ## 功能 - 处理真实的 Wazuh-Security-Alerts - 基于 `LOW`、`MEDIUM` 和 `HIGH` 的风险分类 - 0 到 100 之间可追溯的 Threat Score - Event-Korrelation 和 Brute-Force 检测 - MITRE-ATT&CK 映射 - 具体的行动建议 - 使用 Ollama 进行本地 KI 分析 - 可过滤的 Alert 概览 - Incident 和 Investigation 视图 - 导出 CSV 报告 - 使用 Pytest 进行自动化测试 ## Threat Scoring Threat Score 结合了以下几个因素: - Wazuh-Level - 已知的攻击模式 - 现有的 Quell-IP - MITRE-ATT&CK 映射 - 为 `MEDIUM` 和 `HIGH` 定义的最低值 该分数最高限制为 100 分,并与其理由一起显示在 Investigation 视图中。 ## Brute-Force 检测 如果在十分钟内检测到来自同一 Quell-IP 的至少五次失败登录尝试,则会生成 Brute-Force 嫌疑。 该 Incident 包含: - 风险等级 - Incident 类型 - Quell-IP - 受影响的 Agent - 关联的 Alerts 数量 - 首次和最后一次事件 - 行动建议 ## 架构 ``` Wazuh SIEM | v alerts_export.json | v Python Alert Pipeline | +--> Risikoklassifizierung | +--> Threat Scoring | +--> Event-Korrelation | +--> MITRE ATT&CK | +--> lokale LLM-Analyse mit Ollama | v Streamlit SOC Dashboard ``` ## Tech Stack ### Backend - Python 3 - Pandas - Requests - Pytest ### 安全 - Wazuh SIEM - MITRE ATT&CK - Linux Authentication Logs - 基于规则的 Event-Korrelation ### KI - Ollama - Llama 3.2 3B ### Frontend - Streamlit - Altair - 自定义 Dark Theme ## 安装 ### 克隆仓库 ``` git clone https://github.com/n-somas/ai-security-analyst.git cd ai-security-analyst ``` ### 安装依赖 ``` python -m pip install -r requirements.txt ``` ### 运行测试 ``` python -m pytest -q ``` ### 下载 Ollama 模型 ``` ollama pull llama3.2:3b ``` ### 启动 Dashboard ``` streamlit run src/dashboard.py ``` 随后,Dashboard 默认可通过 `http://localhost:8501` 访问。 ## 示例 Alerts - PAM Authentication Failure - PAM Misconfiguration - User Login Failed - Successful sudo to ROOT - Wazuh Agent Events ## MITRE-ATT&CK 示例 | 技术 | 描述 | |---|---| | T1078 | Valid Accounts | | T1110.001 | Password Guessing | | T1548.003 | Sudo and Sudo Caching | ## 项目状态 活跃的展示项目,适用于: - SOC Analyst - Cybersecurity Analyst - SIEM 和 Blue Team - Security Automation - AI-assisted Security Operations ## 计划扩展 - Live Alert Streaming - Threat Intelligence Feeds - VirusTotal 集成 - GeoIP Mapping - 使用 SQLite 进行持久的 Incident 管理 - Docker 部署 - PDF 报告 - GitHub Actions
标签:AI风险缓解, DLL 劫持, Kubernetes, LLM评估, MSSQL, Ollama, Python, Streamlit, Wazuh, 人工智能, 告警关联, 大语言模型, 威胁评分, 安全运营中心, 无后门, 用户模式Hook绕过, 网络映射, 访问控制, 逆向工具