shreyashbandekar/soc-analyst-assistant

# AI 驱动的 SOC 分析师助手 ## 概述 SOC 分析师助手是一个专注于网络安全的平台，旨在减少告警疲劳并提高安全运营中心的调查效率。 该项目结合了 AI 辅助分析、威胁情报富化、事件调查工作流以及 MITRE ATT&CK 映射，帮助分析师做出更快、更明智的决策。 ## 核心功能 ### 告警分类 - 分析传入的安全告警 - 根据严重程度和风险确定告警优先级 - 通过上下文分析减少误报 ### 事件调查 - 集中式调查工作区 - 基于时间线的事件追踪 - 调查笔记与证据管理 ### MITRE ATT&CK 映射 - 自动技术识别 - ATT&CK 战术和技术关联 - 威胁行为可视化 ### 威胁情报富化 - IOC 分析与富化 - 上下文威胁情报集成 - 信誉和威胁上下文支持 ### AI 驱动的分析 - 告警摘要 - 调查协助 - 安全发现解释 - 分析师决策支持 ### 案例管理 - 调查生命周期追踪 - 调查结果管理 - 状态监控与报告 ## 架构 ``` ┌─────────────────────┐ │ React Frontend │ └──────────┬──────────┘ │ ▼ ┌─────────────────────┐ │ Node.js API Layer │ │ Express.js │ └──────────┬──────────┘ │ ▼ ┌─────────────────────┐ │ Prisma ORM │ └──────────┬──────────┘ │ ▼ ┌─────────────────────┐ │ PostgreSQL DB │ └─────────────────────┘ ``` ## 技术栈 ### 前端 - React - TypeScript - Tailwind CSS - Vite ### 后端 - Node.js - Express.js - Prisma ORM ### 数据库 - PostgreSQL ### 基础设施 - Docker - Docker Compose ### AI 与安全 - LLM 集成 - MITRE ATT&CK 框架 - 威胁情报工作流 ## 应用场景 - SOC 告警分类 - 事件响应 - 威胁狩猎 - 安全监控 - 安全运营自动化 - 网络安全培训与演示 ## 路线图 ### 第一阶段 - 核心告警管理 - 调查工作流 - 数据库集成 ### 第二阶段 - AI 驱动的告警分析 - 威胁情报富化 - 高级仪表板 ### 第三阶段 - SIEM 集成 - 自动化调查剧本 - 检测工程建议 ### 第四阶段 - 多租户支持 - 企业报告 - 高级分析 ## 截图 截图和演示将随着开发的进展而添加。 ## 安全考量 - 敏感信息已从版本控制中排除 - 环境变量安全存储 - 尽可能应用最小权限原则 - 在设计时充分考虑了安全开发实践 ## 项目目标 - 减轻分析师的工作量 - 提高调查速度 - 提供可执行的安全洞察 - 演示实用的 SOC 工作流 - 展示现代网络安全工程实践 ## 作者 Shreyash Bandekar 计算机科学与工程专业学生 | 网络安全爱好者 | 有志成为 SOC 分析师 ## 许可证 基于 MIT 许可证授权。

标签：AI辅助分析, Cloudflare, GNU通用公共许可证, MITM代理, MITRE ATT&CK, Node.js, React, SOC运营, Syscalls, 告警研判, 威胁情报, 开发者工具, 测试用例, 版权保护, 请求拦截