Humotica/tibet-soc
GitHub: Humotica/tibet-soc
TIBET安全运营中心,统一威胁检测与响应平台。
Stars: 0 | Forks: 0
# tibet-soc — 基于TIBET Provenance的安全运营中心
为TIBET生态系统提供统一威胁检测、事件关联和事件响应。每个SOC决策都记录为TIBET令牌——审计员的审计轨迹。
## 功能
tibet-soc是TIBET安全的中央神经系统。它从每个TIBET工具中聚合信号,并将它们关联成可操作的警报:
| 来源 | 信号类型 |
|------------------|-----------------------------------|
| **tibet-audit** | 合规违规、策略 |
| **tibet-db** | 数据访问异常、篡改 |
| **tibet-edge** | 边界穿越、外围 |
| **tibet-mirror** | 供应链完整性故障 |
| **tibet-snap** | 状态偏差、回滚事件 |
| **tibet-nis2** | NIS2合规事件 |
| **inject-bender** | 注入攻击、利用探测 |
### 事件关联
多个低严重性事件可能表明高严重性攻击:
- **暴力破解** — 5分钟内来自同一来源的3次以上认证失败
- **APT攻击** — 数据泄露与权限提升相结合
- **供应链妥协** — 来自tibet-mirror的供应链事件
- **内部威胁** — 来自同一资产的非正常情况 + 策略违规
### 案例本驱动响应
基于威胁类型的自动响应操作:
- `isolate_asset` — 隔离受损害的资产
- `snapshot_state` — 通过tibet-snap捕获状态以进行取证
- `block_source` — 在外围阻止违规来源
- `notify_team` — 通知安全团队
- `escalate_nis2` — 触发NIS2事件报告工作流程
### TIBET 原因追踪
每个SOC决策都产生一个TIBET令牌:
- **ERIN:** 事件/警报/决策详情
- **ERAAN:** 关联事件、源工具、`jis:` 身份
- **EROMHEEN:** SOC节点、分析师、时间戳
- **ERACHTER:** 关联模式或案例本执行上下文
## 安装
```
pip install tibet-soc
```
可选集成:
```
pip install tibet-soc[full] # rich CLI + tibet-nis2/snap/db
```
## 命令行界面
```
tibet-soc info # Concept overview
tibet-soc demo # Full demo: ingest, correlate, detect, respond
tibet-soc playbooks # List default playbooks
tibet-soc status # SOC dashboard stats
```
## Python API
```
from tibet_soc import SOCEngine, SecurityEvent, Playbook
# 创建 SOC 引擎
soc = SOCEngine()
# 从多个来源摄取事件
soc.ingest(SecurityEvent(
source="inject-bender",
severity="HIGH",
event_type="intrusion",
description="SQL injection attempt blocked",
asset_id="web-server-01",
))
soc.ingest(SecurityEvent(
source="tibet-db",
severity="CRITICAL",
event_type="data_breach",
description="Unauthorized bulk data export",
asset_id="db-primary",
))
# 关联事件并检测模式
alerts = soc.correlate()
for alert in alerts:
print(f"[{alert.severity}] {alert.title}")
# 执行警报剧本
soc.execute_playbook(alerts[0])
# 仪表板统计
print(soc.stats())
```
## 许可证
MIT — Humotica / J. van de Meent
标签:AMSI绕过, APT 攻击, NIS2 事件报告, PoC, TIBET 生态系统, 事件关联, 事件/警报/决策, 人工智能安全, 关联事件, 关联模式, 内部威胁, 分析师, 剧本执行上下文, 合规性, 响应策略, 威胁检测, 安全节点, 安全运营中心, 审计追踪, 快照状态, 数据访问异常, 时间戳, 暴力破解, 状态偏差, 网络映射, 自动化响应, 边界穿越, 逆向工具, 通知团队, 阻止来源, 隔离资产