rajinikanth-pandey/ThreatFusion-XDR

# 🛡️ AI 驱动的 SOC 情报平台 ## 📌 项目概述 AI 驱动的 SOC 情报平台是一个端到端的网络安全分析解决方案，旨在通过威胁情报、机器学习、合规映射、攻击链分析和 AI 驱动的 incident 调查来增强安全运营中心 (SOC) 的能力。 该平台处理安全事件，使用 MITRE ATT&CK 技术对其进行扩充，评估组织的风险暴露，使用机器学习识别异常活动，并生成 AI 驱动的 incident 报告，以协助安全分析师更快、更准确地做出决策。 # 🎯 项目目标 本项目的主要目标是： - 自动化安全事件丰富和分类。 - 将 incident 映射到 MITRE ATT&CK 技术。 - 生成基于风险的告警优先级排序。 - 使用机器学习检测异常活动。 - 从相关联的技术构建攻击链。 - 生成 AI 驱动的 incident 调查报告。 - 通过 ISO 27001 和 NIST 映射提供合规性可见性。 - 通过自动化提高 SOC 分析师的效率。 # 🏗️ 系统架构 ``` Windows EVTX Logs │ ▼ MITRE ATT&CK Mapping │ ▼ Risk Scoring Engine │ ▼ Asset Criticality Engine │ ▼ Isolation Forest ML Engine │ ▼ Threat Confidence Engine │ ▼ AI Incident Narrator │ ▼ Attack Chain Builder │ ▼ SOC Dashboard ``` # 🔍 核心功能 ## 1. MITRE ATT&CK 映射 该平台将安全事件映射到 MITRE ATT&CK 技术，使分析师能够了解攻击者的行为和战术。 ### 示例技术 - T1078 – 有效账户 - T1110 – 暴力破解 - T1059 – 命令和脚本解释器 - T1543 – 创建或修改系统进程 - T1068 – 权限提升 - T1558 – 窃取或伪造 Kerberos 票据 - T1021 – 远程服务 ### 优势 - 标准化的威胁分类。 - 改进的威胁狩猎。 - 更好的攻击可见性。 ## 2. 风险评分引擎 自定义风险评分模型基于多种因素评估安全事件。 ### 输入 - MITRE 技术严重性 - 事件频率 - 用户活动 - 进程活动 - 资产关键性 ### 输出 - 风险评分 - 风险级别 ### 风险类别 - 严重 - 高 - 中 - 低 ## 3. 资产关键性引擎 资产根据其在环境中的重要性进行分类。 ### 资产类别 | 资产类型 | 关键性 | |------------|------------| | 域控制器 | 严重 | | 服务器 | 高 | | 工作站 | 中 | | 用户终端 | 低 | ### 目的 关键性评分影响整体风险计算和威胁优先级排序。 ## 4. 机器学习模块 该项目利用 Isolation Forest 进行异常检测。 ### 使用的特征 - 事件计数 - 风险评分 - 独立用户数 - 独立进程数 - 资产关键性评分 ### ML 输出 - 正常活动 - 可疑活动 ### 优势 - 识别异常行为。 - 检测潜在的恶意活动。 - 增强分析师的可见性。 ## 5. 威胁置信度引擎 威胁置信度通过结合以下因素来计算： - 风险评分 - 异常评分 - 资产关键性 ### 威胁等级 - 严重 - 高 - 中 - 低 ### 目的 提供一个代表安全威胁可能性的单一置信度评分。 ## 6. AI Incident 叙述器 该平台集成了 Groq LLM 以生成自动化的 incident 报告。 ### 生成的信息 - 执行摘要 - 根本原因分析 - 攻击描述 - 业务影响 - 推荐操作 - 修复指导 ### 优势 - 更快的调查。 - 减少分析师的工作量。 - 一致的报告。 ## 7. 攻击链构建器 攻击链模块将主机上观察到的 MITRE ATT&CK 技术进行关联。 ### 示例 ``` T1078 → T1059 → T1068 → T1021 Valid Accounts → Command Execution → Privilege Escalation → Remote Services ``` ### 优势 - 揭示攻击者的攻击进程。 - 协助 incident 响应。 - 改进取证调查。 ## 8. 合规映射 安全事件被映射到合规控制措施。 ### 框架 #### ISO 27001 - A.5.15 - A.5.17 - A.8.12 - A.8.16 - A.8.18 #### NIST 800-53 - AC-2 - AC-6 - IA-5 - MP-7 - SC-7 ### 优势 - 合规可见性。 - 审计准备就绪。 - 治理支持。 # 📊 Dashboard 模块 SOC Dashboard 包含以下模块： ## SOC 概览 显示： - Incident 总数 - 高风险 Incident - 可疑活动 - 受监控主机 ## 威胁情报 显示： - 主机信息 - MITRE 技术 - 风险评分 - 威胁置信度等级 ## ML 异常检测 显示： - Isolation Forest 结果 - 可疑活动 - 异常统计数据 ## MITRE ATT&CK 分析 显示： - 技术分布 - 技术频率 - 威胁覆盖率指标 ## 攻击链分析 显示： - 主机攻击链 - AI 攻击分析 - 技术关联 ## AI 报告 显示： - AI Incident 叙述 - 调查摘要 - 响应建议 ## 合规 Dashboard 显示： - ISO 控制覆盖率 - NIST 控制覆盖率 - 合规影响分析 ## 告警模拟器 允许手动模拟网络攻击。 ### 支持的模拟 - 有效账户 - 暴力破解 - 命令执行 - 权限提升 - Kerberos 滥用 - 远程服务 ### 目的 为验证平台提供测试环境。 # 🛠️ 技术栈 ## 编程语言 - Python ## 数据处理 - Pandas - NumPy ## 机器学习 - Scikit-Learn ## 仪表板 - Streamlit - Plotly ## AI - Groq API - Llama Models ## 网络安全框架 - MITRE ATT&CK - ISO 27001 - NIST 800-53 # 📁 项目结构 ``` SOC_agent/ │ ├── dashboard.py ├── pipeline.py ├── enrich_alerts.py ├── attack_chain_builder.py ├── ai_narrator.py │ ├── outputs/ │ ├── enriched_alerts.csv │ ├── ai_alerts.csv │ ├── attack_chains.csv │ ├── models/ │ ├── datasets/ │ └── README.md ``` # 🚀 未来增强功能 计划了以下增强功能： - Wazuh 集成 - Sysmon 集成 - 实时监控 - 威胁 Copilot 助手 - PDF 报告生成 - 威胁狩猎模块 - 自动化 Incident 响应 - SOC 自动化剧本 # 🏆 主要成就 该项目成功实现了： - MITRE ATT&CK 映射 - 风险评分引擎 - 资产关键性分析 - 机器学习异常检测 - 威胁置信度引擎 - AI Incident 叙述 - 攻击链重建 - 合规映射 - 交互式 SOC Dashboard - 告警模拟环境 # 📈 业务价值 该平台提供： - 更快的 incident 调查。 - 改进的威胁可见性。 - 增强的合规报告。 - 减少分析师的工作量。 - 更好的风险优先级排序。 - AI 辅助的决策支持。 # 👨‍💻 结论 AI 驱动的 SOC 情报平台展示了如何将网络安全、机器学习、威胁情报、合规管理和生成式 AI 结合到一个统一的安全运营解决方案中。 该项目提供了一个可扩展的基础，可以与 Wazuh 等 SIEM 平台、实时日志源和企业安全监控环境集成。

标签：Apex, Cloudflare, Kubernetes, MITRE ATT&CK, Sysdig, Web报告查看器, 威胁情报分析, 安全运营中心(SOC), 异常检测, 机器学习, 模拟器, 自动化运营, 逆向工具