btncwn/CyberSec-Analyst-AI-Agent

用于事件响应、威胁狩猎和检测工程的本地安全 SOC RAG 助手 ## 概述 个人网络安全分析师 AI Agent 最初是一个本地托管的 AI 驱动的网络安全助手，旨在支持防御性安全运营、威胁狩猎、检测工程、事件响应、MITRE ATT&CK 映射和威胁情报工作流。 ### 版本 1.0 – 本地 AI 网络安全助手 初始版本使用 Streamlit、Ollama 和 Llama 3.2 提供以下 AI 辅助支持： * 事件报告生成 * 威胁狩猎指导 * Sigma 规则生成 * Splunk SPL 查询生成 * MITRE ATT&CK 映射 * 检测工程支持 * 威胁情报分析 架构： 用户 → Streamlit → Ollama → Llama 3.2 ### 版本 1.1 – AI 安全改进 经过安全测试后，该项目进行了增强，以解决 prompt 注入和 AI 安全风险。 增强功能包括： * prompt 注入测试 * prompt 注入缓解 * 安全 prompt 处理 * AI 安全文档 * 安全验证测试 架构： 用户 → 安全控制 → Ollama → Llama 3.2 ### 版本 2.0 – 安全的本地 SOC RAG 助手 该项目演变为使用 Python、ChromaDB、Ollama、Llama 3.2 和 Qwen3 的检索增强生成 (RAG) SOC 分析师助手。 主要增强功能： * ChromaDB 向量数据库 * 本地网络安全知识库 * 文档摄取和分块 * 检索增强生成 (RAG) * 带有来源归属的响应 * 本地 LLM 支持（Llama 3.2 和 Qwen3） * 通过知识检索提高调查准确性 架构： 用户问题 ↓ ChromaDB 向量搜索 ↓ 网络安全知识库 ↓ 本地 LLM (Llama 3.2 / Qwen3) ↓ 带来源归属的响应 该平台在本地执行所有处理，无需云 AI 服务，旨在支持安全调查，同时维护数据隐私、透明度和分析师控制。 当前功能包括： * 事件响应 * 威胁狩猎 * 检测工程 * Sigma 规则支持 * Splunk 查询协助 * MITRE ATT&CK 映射 * 威胁情报分析 * 检索增强生成 (RAG) * 来源归属和证据验证 ## 功能 ### 事件报告生成器 根据警报、日志和调查结果生成结构化的网络安全事件报告。 ### 威胁狩猎助手 创建狩猎假设，确定相关数据源，并生成调查工作流。 ### Sigma 规则生成器 生成带有 ATT&CK 映射、误报分析和调优建议的 Sigma 检测规则。 ### Splunk 查询生成器 创建用于防御性监控和威胁检测的 Splunk SPL 查询。 ### MITRE ATT&CK 映射器 将观察到的行为映射到 ATT&CK 战术和技术。 ### 检测工程助手 生成检测逻辑、Sigma 规则、Splunk 查询、ATT&CK 映射和验证指导。 ### 威胁情报助手 支持 IOC 分析、威胁评估、调查工作流和丰富机会。 ## 架构 ``` User │ ▼ Streamlit Web Interface │ ▼ Personal Cyber Security Analyst AI Agent │ ▼ Ollama API │ ▼ Llama 3.2 Local Model │ ├── Incident Report Generator ├── Threat Hunting Assistant ├── Sigma Rule Generator ├── Splunk Query Generator ├── MITRE ATT&CK Mapper ├── Detection Engineering Assistant └── Threat Intelligence Assistant ``` ## 技术栈 * Python * Streamlit * Ollama * Llama 3.2 * MITRE ATT&CK * Sigma * Splunk SPL ## 截图 ### 主页  ### 事件报告生成器  ### 威胁狩猎助手  ### Sigma 规则生成器  ### Splunk 查询生成器  ### MITRE ATT\&CK 映射器  ### 检测工程助手  ### 威胁情报助手  ### 本地 Streamlit 部署  ### 本地 Ollama 模型  ## 安装说明 参见： ``` docs/installation.md ``` ## 用例 参见： ``` docs/use_cases.md ``` ## 安全注意事项 * 输出应由人类分析师验证。 * 未经核实，不应将 AI 生成的内容视为证据。 * 专为防御性网络安全用例设计。 * 版本 1 未实现身份验证，因为该应用程序旨在在实验室环境中本地运行。 ## 版本 1.1 增强 • 支持上传 CSV 用于 Splunk 调查 • 使用 Pandas 自动总结遥测数据 • AI 辅助的威胁情报分析 • 检测可疑的 PHP endpoint 活动 • 从上传的 HTTP 遥测数据中提取 IOC ## 版本 1.1 调查增强 ### Splunk CSV 上传分析  ### 威胁情报 HTTP 分析  ### 威胁情报调查报告  ## AI 安全测试 ### Prompt 注入漏洞演示  ### Prompt 注入修复测试  ### Prompt 注入缓解代码更新  ## 未来增强 * MISP 集成 * Sigma 规则导出 * 事件报告导出 * IOC 丰富工作流 * 向量数据库集成 * 知识库支持 * 多模型支持 * 身份验证和用户访问控制 ## 免责声明 本项目仅用于教育、研究和防御性网络安全目的。

标签：AI风险缓解, DLL 劫持, Kubernetes, 人工智能, 大语言模型, 安全运营中心, 本地部署, 检索增强生成, 用户模式Hook绕过, 网络安全, 网络映射, 逆向工具, 隐私保护