FarizaSattar/SentinelAI
GitHub: FarizaSattar/SentinelAI
SentinelAI 是一个将 Microsoft Sentinel 与 Azure OpenAI 结合的云原生安全运营自动化平台,通过 AI 自动完成安全事件的调查、分类和响应建议来缓解 SOC 分析师的警报疲劳。
Stars: 1 | Forks: 0
# 🎯 项目概述
每天,企业都会从端点、防火墙、云服务、身份提供者和应用程序中生成数以千计的安全事件。诸如 Microsoft Sentinel 之类的安全信息与事件管理(SIEM)平台会收集这些日志,并在检测到可疑活动时创建警报。
面临的挑战在于,并非每个警报都代表真实的攻击。安全分析师必须手动调查每个事件,确定其严重程度,收集额外的上下文信息,并决定采取适当的响应措施。这个过程重复且耗时,往往会导致警报疲劳——尤其是在每天产生数百或数千个警报的环境中。
**SentinelAI** 通过将 Microsoft Sentinel、Azure Logic Apps 和 Azure OpenAI 结合到一个智能的 SOC 自动化平台中,从而实现了这一调查过程的自动化。
SentinelAI 无需分析师手动审查每个事件,而是自动收集相关的事件详细信息,将其发送到 AI 分析引擎,通过额外的上下文丰富调查内容,并直接在 Microsoft Sentinel 中生成可操作的建议。
SentinelAI 并非要取代安全分析师,而是作为一个由 AI 驱动的助手,它可以加速调查过程、标准化事件分类,并缩短响应潜在威胁所需的时间。
# ❓ 为什么选择 SentinelAI?
传统的安全运营中心面临以下几个挑战:
* 每天产生大量的安全警报
* 经验丰富的 SOC 分析师有限
* 缓慢的手动调查
* 不一致的事件记录文档
* 高昂的运营成本
* 由重复性调查引起的警报疲劳
SentinelAI 通过自动化事件响应中的重复性部分,同时让安全分析师掌控补救决策,从而解决了这些挑战。
最终效果包括:
* 更快的事件调查
* 更好的事件文档记录
* 一致的安全建议
* 减轻分析师的工作量
* 缩短响应时间
* 可扩展的云原生自动化
# 👥 这个项目适合谁?
SentinelAI 专为任何对现代安全运营中心(SOC)工作流感兴趣的人设计,包括:
* SOC 分析师
* 安全工程师
* 云安全工程师
* 网络安全专业学生
* Microsoft Sentinel 管理员
* DevSecOps 工程师
* 托管安全服务提供商(MSSP)
该项目还可以作为一份实践作品集,展示在 Azure 中的 SIEM、SOAR、云自动化和 AI 集成能力。
# 🚀 SentinelAI 能做什么?
部署完成后,SentinelAI 会持续监控在 Microsoft Sentinel 内部创建的事件。
每当检测规则生成新的事件时,自动化 pipeline 会自动执行以下操作:
1. Microsoft Sentinel 创建一个安全事件。
2. Automation Rule 检测到新事件。
3. Azure Logic Apps 启动调查工作流。
4. 收集事件详细信息,包括:
* 警报标题
* 严重程度
* 用户账户
* 源 IP 地址
* 主机信息
* 事件时间戳
* 检测规则元数据
5. 事件上下文被安全地发送至 Azure OpenAI。
6. AI 分析事件并生成:
* 执行摘要
* 攻击分类
* 威胁严重性评估
* MITRE ATT&CK 技术
* 入侵指标(IOC)
* 推荐的调查步骤
* 建议的补救措施
7. AI 生成的分析结果会作为评论或情报富化信息自动写回 Sentinel 事件中。
8. 安全分析师审查这些建议,并确定是否需要进一步调查或采取遏制措施。
此过程减少了每个安全事件所需的 manual 工作量,同时为分析师提供了一致、结构化的情报。
# 🛠️ 前置条件
在部署 SentinelAI 之前,您需要访问以下 Azure 资源:
### 必需的 Azure 服务
* Microsoft Sentinel
* Azure Log Analytics Workspace
* Azure Logic Apps
* Azure OpenAI Service
* Azure Resource Group
* Azure Subscription
### 必需的权限
您的 Azure 账户应具有以下权限:
* 创建 Microsoft Sentinel Analytics Rules
* 创建 Automation Rules
* 部署 Logic Apps
* 访问 Azure OpenAI
* 创建 Managed Identities(可选)
* 读取和更新 Sentinel 事件
### 推荐知识
虽然不是必需的,但熟悉以下技术会使部署更加容易:
* Microsoft Sentinel
* Kusto Query Language(KQL)
* Azure Portal
* Azure Logic Apps
* Azure OpenAI
* Incident Response
* 基本的网络安全概念
# 💡 如何使用 SentinelAI
部署后,在正常运行期间无需任何手动交互。
每当 Microsoft Sentinel 生成新的安全事件时,该平台都会自动运行。
一个典型的工作流如下所示:
```
User Authentication Event
│
▼
Microsoft Sentinel Detection Rule
│
▼
Security Incident Created
│
▼
Automation Rule Triggered
│
▼
Logic App Executes
│
▼
Azure OpenAI Analysis
│
▼
AI Generates Investigation Report
│
▼
Incident Updated
│
▼
SOC Analyst Reviews Results
│
▼
Containment / Remediation
```
从分析师的角度来看,唯一需要交互的环节是审查 AI 生成的分析结果,并决定是否:
* 关闭事件
* 上报事件
* 进一步调查
* 封禁恶意 IP
* 重置受损账户
* 触发额外的响应操作
# 📈 示例场景
假设攻击者试图暴力破解一个特权账户。
没有 SentinelAI 时:
* Sentinel 中出现警报。
* 分析师打开事件。
* 分析师审查日志。
* 分析师识别源 IP。
* 分析师研究攻击模式。
* 分析师映射 MITRE ATT&CK 技术。
* 分析师记录调查结果。
* 分析师提出补救建议。
此过程每个事件可能需要 **15-30 分钟**。
使用 SentinelAI 时:
* 出现警报。
* AI 立即分析事件。
* 识别出 MITRE ATT&CK 技术。
* 提取出入侵指标。
* 评估风险等级。
* 生成建议。
* 调查结果直接写入事件中。
分析师可以立即开始调查,并且大部分重复性的分析工作已经完成,从而将调查时间缩短至仅仅几分钟。
标签:Azure, DLL 劫持, 事件响应自动化, 大语言模型, 安全运营, 扫描框架