1kai123/evidenceops-agent

# EvidenceOps Agent EvidenceOps Agent 是一个为在线黑客松提交而构建的 AI 事件响应工作区。它将分散的安全告警转化为可解释的响应包：风险评分、证据时间线、agent 推理、人工审批关卡，以及可直接提交的事件简报。 ## 黑客松目标 - FIND EVIL!：自动化事件响应和取证推理。 - Splunk Agentic Ops Hackathon：agentic 安全运营和可观测性工作流。 - Band of Agents：多 agent 企业工作流，包含用于证据收集、威胁评估和响应起草的 agent。 ## 提交包 - `ONE_PAGE_PITCH.md`：对评委友好的一页式推介。 - `CURRENT_STATUS.md`：当前的发布/提交状态以及后续行动。 - `JUDGING_HIGHLIGHTS.md`：最强的差异化和 demo 路径。 - `SUBMISSION_RISKS.md`：可能削弱提交的风险及其缓解方法。 - `DEVPOST_ANSWERS.md`：用于常见黑客松表单的可直接复制答案。 - `SPLUNK_SUBMISSION_READY.md`：专注于 Splunk Agentic Ops 的提交文案。 - `SPLUNK_MCP_EVIDENCE_PACK.md`：面向评委的 Splunk MCP 和 AI Toolkit 对齐说明。 - `splunk/`：保存的搜索、MCP tool manifest、mock trace 和 AppInspect 检查清单。 - `SECOND_HACKATHON_TARGET.md`：选定的第二个现金奖项目标及备选目标。 - `GOOGLE_CLOUD_RAPID_AGENT_EDITION.md`：面向 Google Cloud Rapid Agent Hackathon 的快速转换包。 - `google-cloud/`：Agent Builder flow、Gemini prompt contract 和合作伙伴 MCP 映射。 - `FEEDBACK_PRIZE_ATTEMPT.md`：Splunk 反馈奖尝试及准备好的反馈主题。 - `BRAND_PORTALS_SUBMISSION_READY.md`：Brand Portals for Brands 的提交文案和资格说明。 - `BRAND_PORTALS_SUBMISSION_INDEX.md`：Brand Portals 审查链接、资料包和后续步骤的统一入口。 - `BRAND_PORTALS_FINAL_SUBMISSION_FIELDS.md`：可直接复制的 Brand Portals Devpost 和 BrandKity 最终提交字段。 - `BRAND_PORTALS_USER_ACTIONS_CN.md`：面向资格验证、BrandKity 和最终提交的中文极简纯用户操作列表。 - `BRAND_PORTALS_VIDEO_SCRIPT.md`：如果需要视频，提供的 60-90 秒品牌专属演示脚本。 - `BRAND_PORTAL_QA_REPORT.md`：实时 URL、资产、截图和响应能力验证。 - `BRAND_PORTALS_ACCESS_RECOVERY.md`：Devpost 学生资格、BrandKity 注册和 403 支持步骤。 - `DEVPOST_SUPPORT_EMAIL_READY.md`：针对 Brand Portals 403 访问问题的最终支持邮件。 - `DEVPOST_SUPPORT_EMAIL_PLAIN.txt`：可直接粘贴到 Gmail 或任何邮件客户端的纯文本版本。 - `DEVPOST_SUPPORT_EMAIL_DRAFT.eml`：用于桌面邮件客户端的未发送邮件草稿文件。 - `PRIZE_CLAIMING_GUIDE_CHINA_STUDENT.md`：针对中国本土学生的奖金资格、税务和支付准备。 - `brand-portal/`：包含 logo、社交资产、语音、颜色和可下载指南的完整 EvidenceOps Agent 品牌门户。 - `FINDEVIL_SUBMISSION_READY.md`：FIND EVIL 文案、运行说明和评审侧重点。 - `FINDEVIL_EVIDENCE_DATASET.md`：FIND EVIL 证据数据集文档。 - `FINDEVIL_ACCURACY_REPORT.md`：FIND EVIL 准确性和自我修正报告。 - `FINDEVIL_VIDEO_SCRIPT.md`：所需视频的终端 demo 脚本。 - `findevil/`：在终端运行的事件响应 agent 和样本证据。 - `PRIZE_CLAIM_GUIDE_CN.md`：关于奖金申领、W-8BEN 和支付准备的中文清单。 - `VIDEO_SHOTLIST.md`：2-3 分钟的 demo 录制脚本。 - `DEMO_NARRATION.md`：完整的 demo 旁白、字幕和上传清单。 - `FINAL_SUBMISSION_CHECKLIST.md`：最终的发布、部署、视频和提交检查清单。 ## Demo 在浏览器中打开 `index.html`。 1. 点击重新加载图标以加载样本事件。 2. 选择其中一个事件场景：OAuth token 窃取、勒索软件前奏或内部人员数据外发。 3. 点击 `Run agent`。 4. 查看风险评分、证据时间线、Splunk 就绪状态条、推理卡片、MCP 风格的 tool trace、审批队列和事件简报。 5. 使用 `Copy report` 或 `Download report` 获取提交叙述。 ## 展示内容 - 跨身份、OAuth、endpoint、存储、备份、开发者、DLP 和代理信号的多源告警关联。 - 与证据挂钩的解释，而不是黑盒风险评分。 - 为每个事件提供 Splunk 就绪的保存搜索和 MCP 风格的 tool trace 输出。 - 评委证明包，将静态 demo 映射到 Splunk MCP Server、保存的搜索和 Splunk Developer Tools。 - Google Cloud Rapid Agent 版本，将相同的产品映射到 Gemini、Agent Builder flow 编排和合作伙伴 MCP 检索。 - FIND EVIL 终端版本，包含证据 ID、执行日志和自我修正。 - 在采取撤销 token 等破坏性操作之前设置人工审批检查点。 - 用于评审和 demo 视频的多场景重放。 - 可重用的 UI，后续可连接到 Splunk、SIEM 数据或 MCP 工具。 ## 未来集成 - 用 Splunk 搜索结果替换 mock 场景数据。 - 添加用于日志检索和工单创建的 MCP 工具。 - 使用 `SPLUNK_INTEGRATION.md` 作为计划中的 SPL 和 Splunk MCP 映射。 - 使用 `SIFT_DFIR_INTEGRATION.md` 作为计划中的 DFIR 取证模型。 - 使用 `EXECUTION_LOG_SAMPLE.md` 作为生产审计追踪模型。 - 将事件简报导出为 Markdown、PDF 或 Slack/Jira payload。 - 添加用于评审/demo 视频的重放模式。 ## Demo 脚本 EvidenceOps Agent 帮助响应人员从嘈杂的告警转向可辩护的响应计划。在此场景中，agent 关联了 MFA 疲劳攻击、OAuth 授权、token 重放和大规模工资存档下载。它分配了严重的风险评分，引用了证据时间线，并起草了即时响应步骤：撤销 token 系列、禁用 OAuth 授权、隔离取证工件、审计文件读取并通知领导层。

标签：可解释AI, 多智能体, 多模态安全, 安全运营, 库, 应急响应, 扫描框架, 数据可视化, 自动化取证, 自定义脚本, 黑客松项目