abdulazeem-tk4vr/soc_defender
GitHub: abdulazeem-tk4vr/soc_defender
SOC Defender 是一个基于证据门控的 AI 安全运营自动化平台,用于构建、测试和评估智能体 SOC 告警分类与响应工作流。
Stars: 0 | Forks: 0
# SOC Defender
AI 辅助的 SOC 告警分类和响应评估平台。
SOC Defender 是一个生产级网络安全自动化项目,用于构建、测试和评估智能体 SOC 工作流。它集成了基于证据控制的响应逻辑、可选的 RAG、LLM 支持的 defender 模式、prompt-injection 防护措施以及兼容 OpenSec 的评估工具,从而能够在可重复的事件响应场景中对安全 agent 进行衡量。
该项目围绕一个实际的 SOC 问题而设计:告警存在大量噪音,上下文分散在各种日志和安全文档中,并且自主 agent 除非将其决策建立在可信证据的基础之上,否则不得采取遏制措施。
## 展示内容
- 用于告警分类、证据收集和响应规划的智能体 SOC 工作流设计
- 基于证据控制的遏制策略,可防止不受支持或不安全的操作
- 兼容 RAG 的安全上下文检索,为分析员决策提供事实依据
- 针对自主安全 agent 的 prompt-injection 和工具滥用防护措施
- 可复现的评估脚本、JSONL 输出、摘要和故障分析
- 针对 agent 行为、策略、报告就绪度、RAG 构建和分类器的测试覆盖
## 架构
```
OpenSec scenario
|
v
Defender mode selection
|
+-- baseline
+-- evidence_gate_only
+-- full_agentic
|
+-- agent graph
+-- verifier
+-- responder
+-- optional RAG
+-- optional LLM backend
|
v
Evidence-gated action/report
|
v
JSONL evaluation output + rollup summary + failure analysis
```
核心实现位于 `defender/` 目录下,评估和分析工具位于 `scripts/` 目录下。
## Defender 模式
| 模式 | 用途 |
|---|---|
| `baseline` | 兼容 OpenSec 的基线流程 |
| `evidence_gate_only` | 用于快速本地检查和策略测试的确定性 defender |
| `full_agentic` | 带有可选 RAG 和 LLM 调用的智能体验证器/响应器工作流 |
## 快速开始
```
py -m pip install -e ".[dev]"
py -m pytest -q
```
运行确定性冒烟评估:
```
py scripts\eval.py --defender evidence_gate_only --no-rag --split train --limit 5 --output outputs\smoke.jsonl --summary outputs\smoke_summary.json
```
默认情况下,评估脚本期望在 `..\opensec-env` 找到 OpenSec 检出代码。如果您的检出代码位于其他位置,请使用 `--opensec-root path\to\opensec-env`。
## RAG 和安全上下文
RAG 是可选的,可以使用 `--no-rag` 禁用以进行确定性实验。要构建本地检索数据:
```
py scripts\fetch_rag_corpora.py
py scripts\build_rag_chunks.py
py scripts\build_qdrant_index.py --chunks data\rag\chunks.jsonl --device cpu
```
## 评估和调试
```
py scripts\summarize.py outputs\smoke.jsonl --output outputs\smoke_rollup.json
py scripts\analyze_failures.py outputs\smoke.jsonl
```
针对性测试运行:
```
py -m pytest tests\test_agent.py -q
py -m pytest tests\test_policy.py tests\test_report_readiness.py -q
py -m pytest tests\test_rag_build.py tests\test_regex_classifier.py -q
py -m compileall -q defender scripts
```
## 项目布局
| 路径 | 用途 |
|---|---|
| `defender/` | Agent、graph、policy、验证器、扫描器、RAG 和 LLM 代码 |
| `scripts/` | 评估、摘要、RAG 构建和故障分析工具 |
| `configs/` | Defender、校准和 prompt-injection regex 配置 |
| `tests/` | 针对 defender 行为的针对性 pytest 覆盖测试 |
| `docs/` | 实现说明、基准测试说明和部署文档 |
| `outputs/` | 本地评估输出和摘要 |
## 为什么这不简单
这不是一个 CRUD 应用或简单的 prompt 包装器。该系统将证据收集、验证、策略控制、响应生成和评估分离开来,以便可以测试 SOC 操作在对抗条件下的正确性、依据和鲁棒性。
## 状态
有关实现说明和基准测试状态,请参阅 `docs\progress.md` 和 `docs\baseline_parity.md`。
标签:AI智能体, C2, RAG, SOC运营, 安全规则引擎, 评估框架, 逆向工具