biscottidiskette/ariadne
GitHub: biscottidiskette/ariadne
一款 LLM 辅助的全栈事件响应平台,帮助安全分析师接入取证工件、自动提取 IoC、构建攻击时间线,并通过 AI 聊天加速调查决策。
Stars: 0 | Forks: 0
# Ariadne
**为安全分析师设计的 LLM 辅助事件响应平台。**
Ariadne 是一个全栈 IR 决策引擎,能够接入取证工件,提取威胁指标,构建自动生成的攻击时间线,并为分析师提供了解案件上下文的 AI 聊天助手——所有这些都集成在结构化的参与工作流中。
## 功能
- **参与管理** — 创建、跟踪和关闭 IR 参与事件,具备完整的 CRUD 生命周期
- **工件接入与解析** — 支持 EVTX 日志、Chainsaw JSON 检测结果、EDR 导出文件、SIEM 结果以及原始粘贴/IoC 列表;通过文件名自动检测
- **自动提取 IoC** — 从每个接入的工件中自动提取 IP、域名、哈希和文件路径
- **攻击时间线** — 根据解析的工件自动构建结构化事件时间线;支持手动扩展
- **AI 驱动的案件聊天** — 具备完整案件上下文注入到每个提示词中的 LLM 聊天界面;通过 Groq 提供流式响应
- **AI 建议** — 防止循环的建议引擎会提示分析师尚未采取的后续调查行动
- **Playbook 生成** — LLM 可根据需要为每次参与事件生成优先级的调查 Playbook
- **分析师笔记** — 按参与事件划分的自由格式 markdown 笔记
## 技术栈
| 层级 | 技术 |
|---|---|
| 前端 | React 19, Vite, Tailwind CSS v4, TanStack Query, React Router v7 |
| 后端 | Python 3.10+, FastAPI, SQLite |
| AI | Groq API (Llama 3.3 70B / Llama 3.1 8B) |
| 解析器 | python-evtx, lxml, 自定义 JSON/CSV 解析器 |
## 项目结构
```
ariadne/
├── backend/
│ ├── ai/ # LLM controller and Groq client
│ ├── db/ # SQLite connection, schema, and service layer
│ ├── models/ # Pydantic schemas
│ ├── parsers/ # Artifact parsers (EVTX, Chainsaw, EDR, SIEM, IoC)
│ ├── routes/ # FastAPI route modules
│ ├── main.py # App entry point
│ └── requirements.txt
└── frontend/
├── src/
│ ├── api/ # Axios client
│ ├── pages/ # EngagementList, EngagementWorkspace
│ └── components/ # UI, chat, engagement, sidebar components
├── index.html
└── package.json
```
## 快速开始
### 前置条件
- Python 3.10+
- Node.js 20+
- 一个 [Groq API 密钥](https://console.groq.com)
### 后端
```
cd backend
python -m venv venv
source venv/bin/activate # Windows: venv\Scripts\activate
pip install -r requirements.txt
cp ../.env.example .env # then add your GROQ_API_KEY
uvicorn main:app --reload
```
API 运行在 `http://localhost:8000`。访问 `/docs` 查看交互式 Swagger UI。
### 前端
```
cd frontend
npm install
npm run dev
```
应用运行在 `http://localhost:5173`。
## 环境变量
将 `.env.example` 复制到 `backend/.env` 并填写相关值:
| 变量 | 描述 |
|---|---|
| `GROQ_API_KEY` | 你的 Groq API 密钥 |
| `DATABASE_URL` | SQLite 数据库路径(默认:`./ariadne.db`) |
| `ENVIRONMENT` | `development` 或 `production` |
## License
MIT
标签:AV绕过, DLL 劫持, FastAPI, React, Syscalls, Sysdig, 大语言模型, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 逆向工具