FarizaSattar/SentinelAI

GitHub: FarizaSattar/SentinelAI

SentinelAI 是一个将 Microsoft Sentinel 与 Azure OpenAI 结合的云原生安全运营自动化平台,通过 AI 自动完成安全事件的调查、分类和响应建议来缓解 SOC 分析师的警报疲劳。

Stars: 1 | Forks: 0

# 🎯 项目概述 每天,企业都会从端点、防火墙、云服务、身份提供者和应用程序中生成数以千计的安全事件。诸如 Microsoft Sentinel 之类的安全信息与事件管理(SIEM)平台会收集这些日志,并在检测到可疑活动时创建警报。 面临的挑战在于,并非每个警报都代表真实的攻击。安全分析师必须手动调查每个事件,确定其严重程度,收集额外的上下文信息,并决定采取适当的响应措施。这个过程重复且耗时,往往会导致警报疲劳——尤其是在每天产生数百或数千个警报的环境中。 **SentinelAI** 通过将 Microsoft Sentinel、Azure Logic Apps 和 Azure OpenAI 结合到一个智能的 SOC 自动化平台中,从而实现了这一调查过程的自动化。 SentinelAI 无需分析师手动审查每个事件,而是自动收集相关的事件详细信息,将其发送到 AI 分析引擎,通过额外的上下文丰富调查内容,并直接在 Microsoft Sentinel 中生成可操作的建议。 SentinelAI 并非要取代安全分析师,而是作为一个由 AI 驱动的助手,它可以加速调查过程、标准化事件分类,并缩短响应潜在威胁所需的时间。 # ❓ 为什么选择 SentinelAI? 传统的安全运营中心面临以下几个挑战: * 每天产生大量的安全警报 * 经验丰富的 SOC 分析师有限 * 缓慢的手动调查 * 不一致的事件记录文档 * 高昂的运营成本 * 由重复性调查引起的警报疲劳 SentinelAI 通过自动化事件响应中的重复性部分,同时让安全分析师掌控补救决策,从而解决了这些挑战。 最终效果包括: * 更快的事件调查 * 更好的事件文档记录 * 一致的安全建议 * 减轻分析师的工作量 * 缩短响应时间 * 可扩展的云原生自动化 # 👥 这个项目适合谁? SentinelAI 专为任何对现代安全运营中心(SOC)工作流感兴趣的人设计,包括: * SOC 分析师 * 安全工程师 * 云安全工程师 * 网络安全专业学生 * Microsoft Sentinel 管理员 * DevSecOps 工程师 * 托管安全服务提供商(MSSP) 该项目还可以作为一份实践作品集,展示在 Azure 中的 SIEM、SOAR、云自动化和 AI 集成能力。 # 🚀 SentinelAI 能做什么? 部署完成后,SentinelAI 会持续监控在 Microsoft Sentinel 内部创建的事件。 每当检测规则生成新的事件时,自动化 pipeline 会自动执行以下操作: 1. Microsoft Sentinel 创建一个安全事件。 2. Automation Rule 检测到新事件。 3. Azure Logic Apps 启动调查工作流。 4. 收集事件详细信息,包括: * 警报标题 * 严重程度 * 用户账户 * 源 IP 地址 * 主机信息 * 事件时间戳 * 检测规则元数据 5. 事件上下文被安全地发送至 Azure OpenAI。 6. AI 分析事件并生成: * 执行摘要 * 攻击分类 * 威胁严重性评估 * MITRE ATT&CK 技术 * 入侵指标(IOC) * 推荐的调查步骤 * 建议的补救措施 7. AI 生成的分析结果会作为评论或情报富化信息自动写回 Sentinel 事件中。 8. 安全分析师审查这些建议,并确定是否需要进一步调查或采取遏制措施。 此过程减少了每个安全事件所需的 manual 工作量,同时为分析师提供了一致、结构化的情报。 # 🛠️ 前置条件 在部署 SentinelAI 之前,您需要访问以下 Azure 资源: ### 必需的 Azure 服务 * Microsoft Sentinel * Azure Log Analytics Workspace * Azure Logic Apps * Azure OpenAI Service * Azure Resource Group * Azure Subscription ### 必需的权限 您的 Azure 账户应具有以下权限: * 创建 Microsoft Sentinel Analytics Rules * 创建 Automation Rules * 部署 Logic Apps * 访问 Azure OpenAI * 创建 Managed Identities(可选) * 读取和更新 Sentinel 事件 ### 推荐知识 虽然不是必需的,但熟悉以下技术会使部署更加容易: * Microsoft Sentinel * Kusto Query Language(KQL) * Azure Portal * Azure Logic Apps * Azure OpenAI * Incident Response * 基本的网络安全概念 # 💡 如何使用 SentinelAI 部署后,在正常运行期间无需任何手动交互。 每当 Microsoft Sentinel 生成新的安全事件时,该平台都会自动运行。 一个典型的工作流如下所示: ``` User Authentication Event │ ▼ Microsoft Sentinel Detection Rule │ ▼ Security Incident Created │ ▼ Automation Rule Triggered │ ▼ Logic App Executes │ ▼ Azure OpenAI Analysis │ ▼ AI Generates Investigation Report │ ▼ Incident Updated │ ▼ SOC Analyst Reviews Results │ ▼ Containment / Remediation ``` 从分析师的角度来看,唯一需要交互的环节是审查 AI 生成的分析结果,并决定是否: * 关闭事件 * 上报事件 * 进一步调查 * 封禁恶意 IP * 重置受损账户 * 触发额外的响应操作 # 📈 示例场景 假设攻击者试图暴力破解一个特权账户。 没有 SentinelAI 时: * Sentinel 中出现警报。 * 分析师打开事件。 * 分析师审查日志。 * 分析师识别源 IP。 * 分析师研究攻击模式。 * 分析师映射 MITRE ATT&CK 技术。 * 分析师记录调查结果。 * 分析师提出补救建议。 此过程每个事件可能需要 **15-30 分钟**。 使用 SentinelAI 时: * 出现警报。 * AI 立即分析事件。 * 识别出 MITRE ATT&CK 技术。 * 提取出入侵指标。 * 评估风险等级。 * 生成建议。 * 调查结果直接写入事件中。 分析师可以立即开始调查,并且大部分重复性的分析工作已经完成,从而将调查时间缩短至仅仅几分钟。
标签:Azure, DLL 劫持, 事件响应自动化, 大语言模型, 安全运营, 扫描框架