saiamruth347-labs/SentinelMind-DFIR

# SentinelMind DFIR **SentinelMind DFIR** 是一个基于 SANS SIFT Workstation 构建的自我纠错、自主的事件响应平台。它利用多 agent 编排架构来摄取、分析、关联并带有批判性地质疑取证证据，确保写保护和不可篡改的审计追踪。 ## 🏗️ 核心架构与工作流 SentinelMind 采用高级事件响应人员的工作流，并将其划分为 **6 个专用的 AI agent**： ``` graph TD A["Evidence Collector Agent"] -->|Extracts Inventory| B["Timeline Analyst Agent"] A -->|Extracts Memory Dump| C["Memory Analysis Agent"] B -->|Correlates Events| D["Correlation Agent"] C -->|Correlates Processes| D D -->|Proposes Hypothesis| E["Skeptic Agent"] E -->|Challenges Evidence / Low Confidence| F{"Self-Correction Loop"} F -->|Insufficient Evidence| A F -->|Valid/Sufficient| G["Report Agent"] G -->|Generates Report| H["Executive Incident Report"] ``` 1. **Evidence Collector Agent**：挂载磁盘镜像，提取文件系统元数据，并跟踪只读证据文件的哈希值。 2. **Memory Analysis Agent**：扫描内存快照（`pslist`、`netscan`、`yarascan`）以检测恶意进程和 C2 通道。 3. **Timeline Analyst Agent**：解析 Windows 事件日志（`Security.evtx`）以查找身份验证失败和服务创建记录。 4. **Correlation Agent**：将易失性内存进程映射回安全日志事件（例如，将 C2 网络端点与远程暴力破解源进行匹配）。 5. **Skeptic Agent（核心创新）**：审计各种假设。如果置信度低于阈值，它会驳回该理论并触发 **自我纠错循环**，以扫描其他备用目录/注册表。 6. **Report Agent**：将经过验证的发现综合成执行摘要报告和 playbook。 ## ⚡ 核心功能 * **自我纠错的调查**：展示了基于矛盾的证据，从最初的错误假设（例如，*管理工具诊断*）自主转变为经过验证的威胁结论（例如，*Cobalt Strike Beacon 持久化*）的过程。 * **强制写保护**：加密 SHA-256 哈希校验可确保在分析过程中不会修改任何原始取证数据。 * **不可篡改的审计追踪**：将每一步操作追溯到负责的具体 agent、时间戳、所使用的 SIFT 工具以及源遥测数据。 * **高级运营中心**：包含响应式的 agent 拓扑工作流（React Flow）、事件图表（Recharts）和日志监视器。 ## 📁 仓库结构 ``` EVIL/ ├── backend/ │ ├── app/ │ │ ├── agents/ # Multi-Agent logic and Simulation Engine │ │ ├── database/ # SQLite local db helper for audit trails │ │ ├── routes/ # REST API endpoints │ │ └── main.py # FastAPI application server │ ├── requirements.txt # Python packages │ └── run.py # Uvicorn bootstrapper └── frontend/ ├── src/ │ ├── components/ # Flow Graphs, Charts, and Shell Terminals │ ├── pages/ # Landing, Dashboard, Evidence, and Audit pages │ └── App.tsx # State management and polling hooks ├── tailwind.config.js # Cyber Ops theme config └── package.json # Node.js packages ``` ## 🚀 快速开始 ### 前置条件 * Python 3.12+ * Node.js 18+ ### 1. 后端设置 ``` cd backend python -m venv .venv # 激活环境： # Windows： .venv\Scripts\Activate.ps1 # Mac/Linux： source .venv/bin/activate pip install -r requirements.txt python run.py ``` *后端运行在 `http://127.0.0.1:8000`。API 文档位于 `/docs`。* ### 2. 前端设置 ``` cd ../frontend npm install npm run dev ``` *前端运行在 `http://localhost:5173/`。*

标签：IP 地址批量处理, JARM, MITM代理, Web报告查看器, 内存分析, 多智能体, 库, 应急响应, 数字取证, 流量嗅探, 自动化分析, 自动化攻击, 自动化脚本, 跨站脚本, 逆向工具