ashlesha-sudo/Agentic-SOC-SOAR-Platform

# 自主智能体 SOC 与 SOAR 平台 这是一个企业级、云原生的自动化事件响应流水线，原生部署于 Google Cloud Platform (GCP)。该框架利用 Vertex AI 和 Gemini 模型架构，自主解析遥测日志、查询数据平面、与专门的领域子智能体协作，并触发主动的网络修复。 ## 系统架构与工作流 该平台通过构建基于 LLM Function Calling (Tool Utilization) 的多智能体认知架构，完全取代了人工分拣循环。 1. **遥测摄取：** 摄取详述身份验证异常的原始安全运营标记。 2. **数据隔离 (SIEM)：** 中央 agent 循环通过 Application Default Credentials (ADC) 原生连接到 **Google BigQuery** 数据仓库，以提取用户连接历史映射 (`soc_logs.login_history`)。 3. **多智能体交接 (CTI)：** 在发现异常的外部足迹后，主 Governor Agent 会将基础设施分析任务委派给专门的 **Cyber Threat Intelligence (CTI) Sub-Agent**，以验证网络信誉机制。 4. **主动封控 (SOAR)：** 如果在数学逻辑上确认了活跃的 Account Takeover (ATO) 违规特征，该框架将调用自动修复脚本生成网络边缘防火墙拦截规则，立即消除恶意 IP 攻击向量。 ## 技术栈与技术领域 * **云基础设施平台：** Google Cloud Platform (GCP) * **数据工程与分析：** Google BigQuery (Serverless Log SQL 架构) * **身份与访问安全：** GCP IAM 系统配置文件（强制执行最小权限原则） * **AI 编排平面：** Google Vertex AI、统一 `google-genai` SDK 核心、Function Calling * **运行时语言与环境：** Python 3、GCP Cloud Shell (云原生原型设计) ## 行为案例研究：输出验证 在 Cloud Shell 内的测试执行循环中，该平台针对不同的后端遥测标准评估了相同的传入警报，以验证自主的上下文判断能力。 ### 案例档案 1：已验证的入侵 (True Positive) * **日志输入：** 来自未映射外部主机的 5 次高频失败身份验证，最终以 `Success` 标记结束。 * **Agent 流程：** Governor Agent 查询 BigQuery $\rightarrow$ 识别 IP $\rightarrow$ CTI Sub-Agent 将该 IP 标记为已知的 Botnet 节点 $\rightarrow$ Governor Agent 触发防火墙拦截。 * **计算得出的 MTTR (Mean Time to Remediate)：** 约 1.2 秒。 ### 案例档案 2：内部用户失误 (False Positive) * **日志输入：** 来源于已知企业设备和内部企业 IP 范围的多次连续登录失败，最终以用户成功登录结束。 * **Agent 流程：** Governor Agent 查询日志 $\rightarrow$ 评估设备注册表匹配情况 $\rightarrow$ 通过 CTI Agent 评估良好的信誉指标 $\rightarrow$ 宣告为无害的用户失误。未触发任何封控工具。

标签：BigQuery, GCP, Vertex AI, 多智能体, 安全运营, 扫描框架, 自动化响应, 逆向工具