ntekim/Sentinel-MCP

# Sentinel-MCP：自主式SOC编排器 Sentinel-MCP 是为 Splunk Agentic Ops Hackathon 构建的一个代理安全运营工具。它自动化了整个事件响应生命周期，将平均响应时间（MTTR）从数小时缩短到数秒。 ## 问题 SOC 分析师被警报疲劳所困扰，超过 90% 的警报为误报。手动调查缓慢、重复且容易出错。 ## 我们的解决方案 我们的代理使用“推送”模型，监听来自 Splunk 的警报。当检测到威胁时，它将自主地： 1. **调查：** 使用 MCP 风格的工具查询 Splunk 日志。 2. **丰富：** 从内部 HR 数据库收集上下文以评估身份风险。 3. **推理：** 使用 LLM 提供法医结论。 4. **响应：** 通过 Slack 通知人类分析师，并带有交互式修复按钮。 5. **审计：** 将所有人类操作记录回 Splunk 以实现闭环审计跟踪。 ## 关键特性 - **自主式分类：** 初始调查无需人工干预。 - **身份感知：** 检查用户是否“休假”以增加风险评分。 - **双向 ChatOps：** 直接从 Slack 执行实际操作（隔离/忽略）。 - **实时指挥中心：** Splunk Dashboard Studio 仪表板，用于 C 级别可见性。 ## 运行方法 1. **克隆仓库：** `git clone ...` 2. **安装依赖项：** `pip install -r requirements.txt` 3. **配置环境：** 将 `.env.example` 复制到 `.env` 并填写您的 Splunk、Hugging Face 和 Slack 凭据。 4. **运行守护进程：** `python3 sentinel_daemon.py` 5. **触发警报：** 将 `dummy_attack_logs.json` 上传到 Splunk 以模拟攻击。

标签：AMSI绕过, Apex, IaC 扫描, PB级数据处理, Slack集成, 人工智能, 人机交互, 威胁检测, 安全运维, 安全运营中心, 审计追踪, 快速响应, 机器学习, 用户模式Hook绕过, 网络映射, 自动化响应, 自动化调查, 逆向工具, 风险评分, 黑客松项目