Corgyy/Network-Incident-Response-Orchestrator

# 网络事件响应编排器（主题 09） ## 概述 由警报触发的自动事件响应（Incident Response - IR）系统，利用并行数据收集和机器学习（ML）分析。该项目旨在通过并行执行独立的数据收集任务来压缩调查时间。 ## 主要功能 - **并行数据收集：** 同时运行侦察（OSINT）、日志收集（Sysmon）和网络分析任务。 - **机器学习分类：** 通过已训练的模型识别攻击类型（例如：暴力破解、侦察）。 - **MITRE ATT&CK 映射：** 将发现的行为了证映射到 MITRE 技术标准框架。 - **自动生成报告：** 生成包含背景、证据和阻止步骤的结构化 IR 报告。 ## 管道结构（Pipeline） 1. **编排器（协调者）：** 分析初始触发警报（例如：Suricata）并协调下级 Agent。 2. **第一阶段（并行 Agent）：** - **侦察 Agent：** 通过 OSINT（VirusTotal、AbuseIPDB 等）评估 IP 信誉。 - **日志收集器：** 在警报发生时间附近的 Sysmon 日志中寻找异常。 - **网络分析器：** 整合和分析多协议流（HTTP、DNS、SMB 等）。 3. **第二阶段（汇总）：** - 提取特征并使用机器学习进行分类。 - 根据汇总证据映射 MITRE ATT&CK。 - 生成完整的 IR 报告（由 LLM 支持）。 ## 数据源 - **Splunk BOTSv1（SOC 总裁 v1）：** - `alerts_trigger_botsv1.json`（Suricata 数据） - `sysmon_logs_botsv1.json`（Sysmon 数据） - `network_streams_botsv1.json`（网络流数据 - 流数据）

标签：日志审计, 逆向工具