harshalbadgujar1053/VigilanceAI-Autonomous_Security_survilance
GitHub: harshalbadgujar1053/VigilanceAI-Autonomous_Security_survilance
一款开源自托管的安全运营中心副驾驶,通过多智能体 LLM 推理和 RAG 威胁情报对 SIEM 告警进行自主分诊与事件报告生成。
Stars: 1 | Forks: 0
# VigilanceAI-Autonomous_Security_Survilance
一个自主的 SOC 副驾驶,将多智能体 LLM 推理 pipeline 与实时 SIEM 遥测数据 (Wazuh) 以及基于 RAG 的威胁情报 (MITRE ATT&CK、NVD CVE、BRON) 相结合,这是首个将上述功能统一整合到一个单一、可自托管、可解释的告警分诊 pipeline 中的开源系统。由 LangChain、ChromaDB、FastAPI、React 和 Ollama/Mistral 构建。
在撰写这些内容之前,先确认一下:您是希望它以长篇 README 风格的文档呈现(包含多个章节,说明更详细),还是希望它作为更简洁的 GitHub 仓库描述(通常位于仓库顶部,更简短、便于快速浏览,并包含主题标签)?由于两者的用途不同,我将默认为您提供这两种形式。但如果您只需要其中一种,请告诉我。
`Cybersecurity` `SOC` `SIEM` `WAZUH` `langchain` `LLM` `RAG` `threat-intelligence` `MITRE ATT&CK` `fastapi` `react` `AWS`
### VigilanceAI-Autonomous_Security_Survilance
**问题陈述**
现代安全运营中心 (SOC) 被 SIEM 系统产生的大量告警所淹没,企业环境每天通常会产生数千条告警。SOC 分析师花费大量工作时间调查最终被证明是误报的告警,这导致了告警疲劳、对真实威胁的响应延迟,以及平均响应时间 (MTTR) 的增加。现有的 SI 平台(如 Splunk 和 Elastic)可以提取日志并生成基于规则的告警,但它们缺乏自主调查告警、将其与外部威胁情报进行关联,或者在没有分析师人工干预的情况下生成人类可读的事件报告的推理能力。诸如 Microsoft Sentinel Copilot 之类的商业 AI 辅助工具在解决此问题上迈出了一步,但它们受限于企业许可证,作为封闭系统运行,不公开其内部推理过程,并且对于小型组织和学生来说遥不可及。目前没有任何现有的开源项目能够将自主多智能体 LLM 推理、基于实时威胁情报的 RAG 以及实时 SIEM 集成结合在一个可自托管的 pipeline 中。
**解决方案**
ThreatLens 是一款开源的自主 SOC 副驾驶,填补了这一空白。它将 LangChain ReAct 智能体直接连接到 Wazuh SIEM 遥测数据,为智能体配备了五个专用工具(SIEM 查询、威胁情报检索、CVE 查找、MITRE ATT&CK 映射和结构化报告生成),并将其推理过程建立在由 MITRE ATT&CK STIX 数据集、NVD CVE 订阅源和 BRON 威胁图谱构建的 RAG 知识库之上。当告警触发时,智能体会自主决定调查内容,拉取相关上下文,对告警进行分类,并生成结构化的事件报告——它复制了人类 Tier-1 分析师的认知工作流,同时公开每一个推理步骤供分析师审查。反馈机制允许分析师对分诊质量进行评级,从而构建一个评估数据集,随着时间推移不断改进系统。
**与现有工具的区别**
Splunk 和 Elastic SIEM 擅长处理日志提取和仪表板展示,但它们仅停留在基于规则的告警阶段,没有推理层,没有自主调查能力,也没有威胁情报基础支撑。像 Palo Alto XSOAR 和 IBM QRadar 这样的 SOAR 平台通过静态的 playbook 自动化响应,但这些 playbook 无法像 LLM 智能体那样动态适应,也无法对实时威胁情报进行推理。像 Microsoft Sentinel Copilot 和 Google SecOps 这样的商业 AI 副驾驶增加了由 LLM 生成的摘要,但它们是封闭、付费、仅限云端且不公开结论背后推理链的。ThreatLens 所基于的开源 SIEM Wazuh 是免费且在检测方面非常稳固的,但完全没有 AI 层。ThreatLens 是该领域唯一一个结合了自主多智能体推理、基于实时 RAG 的威胁情报、MITRE ATT&CK 自动映射以及完全的思维链透明度——同时保持免费、开源,并且任何团队都可以自托管,而不仅仅是拥有 SOAR 预算的企业。
**技术栈**
SIEM: Wazuh。AI/LLM 层:运行在 Ollama/Mistral 上的 LangChain ReAct 智能体(本地运行,成本几乎为零)。知识检索:基于 MITRE ATT&CK STIX、NVD CVE 订阅源和 BRON 威胁图谱的 ChromaDB 向量数据库。后端:FastAPI。前端:React。存储:使用 PostgreSQL 存储分析师反馈数据。部署:本地使用 Docker Compose,生产环境使用 AWS (免费套餐)。评估数据集:CICIDS-2018。
标签:AI风险缓解, DLL 劫持, Wazuh, 告警分诊, 多智能体, 大语言模型, 安全运营中心, 本地部署, 检索增强生成, 测试用例, 漏洞利用检测, 版权保护, 网络映射, 逆向工具