amjadkfp/splunk-soc-copilot

# 🛡️ SOC Copilot — AI 驱动的安全运营中心 (SOC) 平台 SOC Copilot 是一个 AI 驱动的网络安全平台，可将原始的 Windows 安全事件日志转化为可操作的安全情报。该平台专为 SOC 分析师、网络安全学习者和安全团队打造，在统一的 SOC 风格仪表板中集成了威胁检测、MITRE ATT&CK 映射、AI 辅助调查、自动化威胁狩猎以及 Splunk 集成等功能。 上传 Windows 安全事件日志，即可立即获得增强的事件分析、严重性评分、攻击技术映射、威胁狩猎结果、调查指导、补救建议以及可直接交付管理者的安全报告。 ## 🎯 为什么选择 SOC Copilot？ 安全分析师每天通常要面对数以千计的安全事件。判断某个事件是正常活动还是潜在的攻击需要耗费大量的时间和专业知识。 SOC Copilot 通过自动化以下操作来加速调查： * 🎯 使用严重性评分对可疑事件进行优先级排序 * 🤖 用通俗易懂的语言解释安全事件 * 🗺️ 将攻击者行为映射到 MITRE ATT&CK * 🔍 检测跨多个事件的攻击模式 * 📄 生成调查和补救指导 * 🔗 将丰富后的发现发送到 Splunk 进行监控和关联 ## 📄 交互式仪表板模型 探索独立的 SOC 仪表板原型： 👉 [打开仪表板模型](dashboard/soc_copilot_dashboard.html) ## ✨ 功能 | 功能 | 描述 | | ---------------------------- | ---------------------------------------------------------------------------------------------- | | 📤 Windows 日志分析 | 上传并分析 Windows 安全事件日志 (JSON/CSV) | | 🤖 AI 辅助调查 | 生成安全解释、威胁评估和分析师指导 | | 🎯 严重性评分引擎 | 基于风险的评分系统，包含严重、高、中、低和信息等级分类 | | 🗺️ MITRE ATT&CK 映射 | 自动将事件映射到 ATT&CK 技术、战术和对手行为 | | 🔍 自动化威胁狩猎 | 检测暴力破解攻击、权限提升、可疑账户和恶意进程 | | 📊 SOC 仪表板 | 交互式分析师仪表板，包含事件统计和严重性分析 | | 📄 调查报告 | 生成调查清单和补救建议 | | 🔗 Splunk HEC 集成 | 将增强后的安全事件和威胁狩猎结果直接转发到 Splunk | | 🛡️ 事件丰富 | 将严重性、MITRE 上下文、AI 分析和威胁情报整合到统一视图中 | | 🖥️ SOC 风格界面 | 为分析师设计的现代暗色主题网络安全仪表板 | | 📱 响应式设计 | 针对桌面和移动设备进行了优化 | ## 🚀 核心能力 ### 安全事件分析 将原始的 Windows 安全事件转化为人类可读的安全洞察。 ### 威胁狩猎 识别失陷指标，包括： * 暴力破解攻击 * 权限提升 * 可疑的 PowerShell 活动 * 未经授权的账户创建 * 特权组修改 ### MITRE ATT&CK 情报 通过符合 MITRE ATT&CK 框架的技术和战术映射来了解攻击者的行为。 ### Splunk 集成 通过 HTTP Event Collector (HEC) 将增强后的事件、威胁狩猎结果、严重性评分和调查结果转发到 Splunk，以进行集中监控和分析。 ### AI 驱动的调查 利用 AI 辅助推理生成： * 事件摘要 * 威胁评估 * 调查步骤 * 分析师建议 * 补救措施 ## 🏆 示例攻击场景 SOC Copilot 可以检测并调查完整的攻击链： 1. 暴力破解登录尝试 (Event ID 4625) 2. 账户成功被攻陷 (Event ID 4624) 3. PowerShell 命令执行 (Event ID 4688) 4. 未经授权的账户创建 (Event ID 4720) 5. 通过组成员身份更改进行权限提升 (Event ID 4728) 该平台将这些事件关联起来，将其映射到 MITRE ATT&CK 技术，生成调查指导，并生成全面的安全报告。 ### 支持的 Windows Event ID | Event ID | 描述 | MITRE 技术 | |---|---|---| | 4624 | 成功登录 | T1078 — 有效账户 | | 4625 | 登录失败 | T1110 — 暴力破解 | | 4688 | 进程创建 | T1059 — 命令和脚本解释器 | | 4720 | 创建用户账户 | T1136 — 创建账户 | | 4728 | 将成员添加到特权组 | T1098 — 账户操纵 | ## 🚀 安装与运行 (Windows 11) ### 前置条件 - 已安装 Python 3.10 或更高版本 - 网络连接（可选，用于 AI 辅助分析） - Git（可选，用于克隆仓库） ### 第 1 步 — 克隆或下载 ``` Clone or download the repository and extract it to a folder of your choice. git clone https://github.com/YOUR_USERNAME/soc-copilot.git cd soc-copilot Or download the ZIP file and extract it. ``` ### 第 2 步 — 打开终端 ``` Press Win + R, type cmd, press Enter. cd path\to\splunk-soc-copilot ``` 或者在资源管理器中右键单击该文件夹 → “在终端中打开” ### 第 3 步 — 创建虚拟环境 ``` python -m venv venv Activate it: Command Prompt (CMD) venv\Scripts\activate.bat PowerShell .\venv\Scripts\Activate.ps1 ``` 你应该会在终端提示符中看到 `(venv)`。 ### 第 4 步 — 安装依赖 ``` pip install -r requirements.txt ``` ### 第 5 步 — 运行 SOC Copilot 选项 A：一键启动器（推荐） 双击： start_soc_copilot.bat 选项 B：从终端运行 python app.py ### 第 6 步 — 在浏览器中打开 导航至：**http://127.0.0.1:5000** 点击 **"Try Sample Logs"** 立即查看带有模拟攻击场景的完整演示。 🤖 可选的 AI 辅助分析 要启用 AI 辅助分析，请在启动应用程序之前配置您的 API 密钥。 命令提示符 set ANTHROPIC_API_KEY=your-api-key PowerShell $env:ANTHROPIC_API_KEY="your-api-key" 如果未配置 API 密钥，SOC Copilot 将继续使用基于离线规则的分析进行运行。 ## 📁 项目结构 ``` soc-copilot/ │ ├── app.py ← Flask web server, API endpoints ├── analyzer.py ← AI reasoning engine ├── mitre_mapping.py ← MITRE ATT&CK technique lookup table ├── severity_engine.py ← Severity scoring (0–100) with context analysis ├── report_generator.py ← Security report and checklist generator │ ├── requirements.txt ← Python dependencies ├── README.md ← This file │ ├── templates/ │ └── index.html ← Single-page web interface (Bootstrap 5) │ ├── static/ ← Static assets (CSS/JS if needed) │ ├── sample_logs/ │ └── windows_security_events.json ← 12 sample events with a simulated attack chain ``` ## 🧠 AI 推理的工作原理 SOC Copilot 通过为每个事件链接以下步骤来展示**多步 AI 推理**： ``` 1. Parse Event └─ Extract Event ID, user, timestamp, IP, process name 2. Severity Engine └─ Calculate 0–100 risk score based on event type + context (e.g., failed login against "administrator" = higher score) 3. MITRE ATT&CK Mapping └─ Map Event ID → Technique ID, Name, Tactic, Description 4. Claude AI Prompt └─ Send structured context to Claude Sonnet - Event details - Pre-calculated severity - MITRE context └─ Claude returns JSON with: - summary, security_explanation, threat_assessment - investigation_steps (3 steps) - remediation actions - analyst_tip 5. Threat Hunt (on demand) └─ Pattern analysis across ALL events: - Count failed logins per account (brute force) - Detect privilege escalation events - Flag suspicious process names ``` ## 🔒 示例攻击场景 包含的示例日志 (`windows_security_events.json`) 模拟了**真实的攻击链**： 1. **暴力破解** — 针对 Administrator 账户的 6 次失败登录 2. **成功访问** — 攻击者从 IP 192.168.1.45 通过身份验证 3. **恶意 PowerShell** — 编码的 PowerShell 命令执行下载器 4. **后门账户** — 创建了新账户 `svc_backdoor` 5. **权限提升** — `svc_backdoor` 被添加到 Domain Admins 组 6. **正常活动** — 合法用户 `jsmith` 登录（基准） 这反映了映射到 MITRE ATT&CK 框架的真实攻击模式。 ## 🖼️ 截图 | 屏幕 | 描述 | |---|---| | 欢迎屏幕 | 带有 ASCII 艺术的暗色终端风格落地页 | | 事件分析 | 带有严重性徽章的单个事件 AI 分析 | | 威胁狩猎 | 自动化模式检测结果 | | 报告视图 | 调查清单和补救指南 | | MITRE ATT&CK | 带有官方 MITRE 网站链接的技术卡片 | ## 🚀 未来路线图 以下增强功能已列入计划，以进一步扩展 SOC Copilot 的威胁检测、调查和 SOC 自动化能力： * [ ] **高级 Splunk 仪表板** — 为增强后的 SOC Copilot 事件提供交互式安全仪表板、可视化和告警 * [ ] **Microsoft Sentinel 集成** — 将增强后的发现转发到 Microsoft Sentinel 以进行云原生 SOC 运营 * [ ] **Elastic Security 集成** — 支持 Elastic Stack 进行集中安全监控 * [ ] **Sigma 规则引擎** — 解析并应用社区驱动的 Sigma 检测规则 * [ ] **攻击时间线视图** — 按时间顺序可视化攻击者活动和事件进展 * [ ] **多源关联** — 关联 Windows 日志、Sysmon 事件、防火墙日志和身份验证日志 * [ ] **PDF 和高管报告** — 导出调查报告和事件摘要 * [ ] **自定义检测规则** — 允许分析师创建和管理自定义检测逻辑 * [ ] **用户身份验证和案例管理** — 保存调查、跟踪事件并管理分析师工作流 * [ ] **Sysmon 支持** — 使用 Sysmon Event ID 和遥测数据提供高级端点可见性 * [ ] **网络安全分析** — 支持防火墙、代理、DNS 和网络流量日志 * [ ] **威胁情报集成** — 使用外部 IOC 和威胁情报源丰富事件 * [ ] **SOAR 自动化** — 自动化响应操作，例如 IP 封锁、账户禁用和告警升级 * [ ] **AI 事件摘要** — 生成可直接交付高管的事件摘要和响应建议 ## 📜 许可证 本项目旨在用于教育、研究和演示目的。它展示了网络安全概念，包括 Windows 安全事件日志分析、威胁狩猎、MITRE ATT&CK 映射、AI 辅助调查、安全事件丰富和 Splunk 集成。 用户有责任确保在部署或修改本项目时遵守适用的安全策略、组织要求和第三方服务条款。 ### 🛠️ 构建技术 * Python * Flask * Bootstrap 5 * Claude AI (可选) * Splunk HTTP Event Collector (HEC) * MITRE ATT&CK 框架 ### 🔐 核心能力 * Windows 安全事件日志分析 * 威胁狩猎和攻击模式检测 * MITRE ATT&CK 技术映射 * AI 辅助安全调查 * 严重性评分和事件丰富 * 安全报告和补救指导 * 用于集中监控的 Splunk 集成 **SOC Copilot 展示了 AI、威胁检测、事件丰富和 SIEM 集成如何帮助安全分析师更高效地调查威胁。**

标签：人工智能, 后端开发, 安全运营, 扫描框架, 用户模式Hook绕过, 逆向工具