farhanahmedpk/SOC-Triage-Agent
GitHub: farhanahmedpk/SOC-Triage-Agent
自动化SOC Tier-1警报处理与分析代理
Stars: 0 | Forks: 0
# 🛡️ SOC 三级分析代理
一个由人工智能驱动的 Tier-1 SOC 分析代理,能够自主地摄取安全警报,用威胁情报丰富它们,关联日志数据,并生成结构化事件报告——为 **2026 年 Google Cloud Rapid Agent Hackathon** 构建。
## 🎯 它的功能
手动警报分类是缓慢的、重复的,并且会让分析师感到疲惫。此代理自动化了整个 Tier-1 SOC 工作流程:
1. **摄取** — 从 Elasticsearch SIEM 拉取安全警报
2. **丰富** — 查询威胁情报 API(AbuseIPDB / VirusTotal)以获取 IP 声誉和 IOC 数据
3. **关联** — 在 Elastic 索引中搜索相关事件和模式
4. **分类** — 为每个警报评分:`关键 / 高 / 中 / 低`
5. **报告** — 为每个警报生成结构化事件报告
6. **升级** — 将关键/高严重性警报标记为供人工分析师审查
## 🧱 技术栈
| 层 | 技术 |
| ----------- | --------------------------------- |
| 代理大脑 | Gemini 通过 Google Cloud Agent Builder |
| SIEM / 搜索 | **Elasticsearch (Elastic MCP)** |
| 威胁情报 | AbuseIPDB API |
| 部署 | Google Cloud Run |
| 机密 | Google Cloud Secret Manager |
| 语言 | Python |
## 🏆 黑客马拉松
- **事件:** [Google Cloud Rapid Agent Hackathon](https://rapid-agent.devpost.com/)
- **赛道:** Elastic
- **截止日期:** 2026 年 6 月 12 日
## 📁 项目结构
```
soc-triage-agent/
├── agent/
│ ├── main.py # Agent orchestration logic
│ ├── tools/
│ │ ├── elastic_tool.py # Elastic MCP integration
│ │ ├── enrich_tool.py # Threat intel enrichment
│ │ └── report_tool.py # Incident report generation
├── data/
│ └── ingest_sample.py # Sample security log ingestion script
├── frontend/
│ └── index.html # Analyst dashboard UI
├── .env.example # Environment variable template
├── requirements.txt
└── README.md
```
## 🚀 开始使用
### 前置条件
- Python 3.10+
- 启用 Agent Builder 的 Google Cloud 账户
- Elastic Cloud 账户(免费试用版有效)
- AbuseIPDB API 密钥(免费层)
### 安装
```
git clone https://github.com/YOUR_USERNAME/soc-triage-agent
cd soc-triage-agent
pip install -r requirements.txt
cp .env.example .env
# 填写您的API密钥到.env文件
```
### 环境变量
```
ELASTIC_URL=your_elastic_cloud_url
ELASTIC_API_KEY=your_elastic_api_key
ABUSEIPDB_API_KEY=your_abuseipdb_key
GOOGLE_CLOUD_PROJECT=your_gcp_project_id
```
### 本地运行
```
# 将样本安全数据导入Elastic
python data/ingest_sample.py
# 启动代理
python agent/main.py
```
## 📊 演示
## 📄 许可证
此项目采用 MIT 许可证——有关详细信息,请参阅 [LICENSE](LICENSE)。
标签:Elasticsearch, Google Cloud, IP信誉, Python, 事件关联, 威胁情报, 威胁情报API, 安全事件响应, 安全评分, 安全运营中心, 开发者工具, 无后门, 网络映射, 自动化分析, 跨站脚本, 逆向工具, 黑客松