n-somas/ai-security-analyst
GitHub: n-somas/ai-security-analyst
基于 Python、Streamlit 和 Ollama 本地 LLM 构建的 Wazuh SIEM 告警分析平台,提供威胁评分、事件关联与 AI 辅助 SOC 分析仪表盘。
Stars: 0 | Forks: 0
# AI Security Analyst
用于分析 Wazuh Alerts 的本地 SOC 展示项目,包含 Event-Korrelation、Threat Scoring、MITRE-ATT&CK 映射以及通过 Ollama 进行的本地 KI 分析。
## Dashboard
### Command Center
Command Center 显示了关键指标、当前的风险分布、平均的 Threat Score,以及活跃的 Agents 和检测到的 MITRE 技术。

### Incident Center
在定义的时间窗口内,来自同一 Quell-IP 的多次失败登录尝试将被关联起来,并作为一个共同的 Security Incident 进行展示。

### 调查
Investigation 视图显示了技术性的 Alert-Details、Threat Score、风险理由、行动建议以及可选的本地 KI 分析。

## 功能
- 处理真实的 Wazuh-Security-Alerts
- 基于 `LOW`、`MEDIUM` 和 `HIGH` 的风险分类
- 0 到 100 之间可追溯的 Threat Score
- Event-Korrelation 和 Brute-Force 检测
- MITRE-ATT&CK 映射
- 具体的行动建议
- 使用 Ollama 进行本地 KI 分析
- 可过滤的 Alert 概览
- Incident 和 Investigation 视图
- 导出 CSV 报告
- 使用 Pytest 进行自动化测试
## Threat Scoring
Threat Score 结合了以下几个因素:
- Wazuh-Level
- 已知的攻击模式
- 现有的 Quell-IP
- MITRE-ATT&CK 映射
- 为 `MEDIUM` 和 `HIGH` 定义的最低值
该分数最高限制为 100 分,并与其理由一起显示在 Investigation 视图中。
## Brute-Force 检测
如果在十分钟内检测到来自同一 Quell-IP 的至少五次失败登录尝试,则会生成 Brute-Force 嫌疑。
该 Incident 包含:
- 风险等级
- Incident 类型
- Quell-IP
- 受影响的 Agent
- 关联的 Alerts 数量
- 首次和最后一次事件
- 行动建议
## 架构
```
Wazuh SIEM
|
v
alerts_export.json
|
v
Python Alert Pipeline
|
+--> Risikoklassifizierung
|
+--> Threat Scoring
|
+--> Event-Korrelation
|
+--> MITRE ATT&CK
|
+--> lokale LLM-Analyse mit Ollama
|
v
Streamlit SOC Dashboard
```
## Tech Stack
### Backend
- Python 3
- Pandas
- Requests
- Pytest
### 安全
- Wazuh SIEM
- MITRE ATT&CK
- Linux Authentication Logs
- 基于规则的 Event-Korrelation
### KI
- Ollama
- Llama 3.2 3B
### Frontend
- Streamlit
- Altair
- 自定义 Dark Theme
## 安装
### 克隆仓库
```
git clone https://github.com/n-somas/ai-security-analyst.git
cd ai-security-analyst
```
### 安装依赖
```
python -m pip install -r requirements.txt
```
### 运行测试
```
python -m pytest -q
```
### 下载 Ollama 模型
```
ollama pull llama3.2:3b
```
### 启动 Dashboard
```
streamlit run src/dashboard.py
```
随后,Dashboard 默认可通过 `http://localhost:8501` 访问。
## 示例 Alerts
- PAM Authentication Failure
- PAM Misconfiguration
- User Login Failed
- Successful sudo to ROOT
- Wazuh Agent Events
## MITRE-ATT&CK 示例
| 技术 | 描述 |
|---|---|
| T1078 | Valid Accounts |
| T1110.001 | Password Guessing |
| T1548.003 | Sudo and Sudo Caching |
## 项目状态
活跃的展示项目,适用于:
- SOC Analyst
- Cybersecurity Analyst
- SIEM 和 Blue Team
- Security Automation
- AI-assisted Security Operations
## 计划扩展
- Live Alert Streaming
- Threat Intelligence Feeds
- VirusTotal 集成
- GeoIP Mapping
- 使用 SQLite 进行持久的 Incident 管理
- Docker 部署
- PDF 报告
- GitHub Actions
标签:AI风险缓解, DLL 劫持, Kubernetes, LLM评估, MSSQL, Ollama, Python, Streamlit, Wazuh, 人工智能, 告警关联, 大语言模型, 威胁评分, 安全运营中心, 无后门, 用户模式Hook绕过, 网络映射, 访问控制, 逆向工具