abdulazeem-tk4vr/soc_defender

GitHub: abdulazeem-tk4vr/soc_defender

SOC Defender 是一个基于证据门控的 AI 安全运营自动化平台,用于构建、测试和评估智能体 SOC 告警分类与响应工作流。

Stars: 0 | Forks: 0

# SOC Defender AI 辅助的 SOC 告警分类和响应评估平台。 SOC Defender 是一个生产级网络安全自动化项目,用于构建、测试和评估智能体 SOC 工作流。它集成了基于证据控制的响应逻辑、可选的 RAG、LLM 支持的 defender 模式、prompt-injection 防护措施以及兼容 OpenSec 的评估工具,从而能够在可重复的事件响应场景中对安全 agent 进行衡量。 该项目围绕一个实际的 SOC 问题而设计:告警存在大量噪音,上下文分散在各种日志和安全文档中,并且自主 agent 除非将其决策建立在可信证据的基础之上,否则不得采取遏制措施。 ## 展示内容 - 用于告警分类、证据收集和响应规划的智能体 SOC 工作流设计 - 基于证据控制的遏制策略,可防止不受支持或不安全的操作 - 兼容 RAG 的安全上下文检索,为分析员决策提供事实依据 - 针对自主安全 agent 的 prompt-injection 和工具滥用防护措施 - 可复现的评估脚本、JSONL 输出、摘要和故障分析 - 针对 agent 行为、策略、报告就绪度、RAG 构建和分类器的测试覆盖 ## 架构 ``` OpenSec scenario | v Defender mode selection | +-- baseline +-- evidence_gate_only +-- full_agentic | +-- agent graph +-- verifier +-- responder +-- optional RAG +-- optional LLM backend | v Evidence-gated action/report | v JSONL evaluation output + rollup summary + failure analysis ``` 核心实现位于 `defender/` 目录下,评估和分析工具位于 `scripts/` 目录下。 ## Defender 模式 | 模式 | 用途 | |---|---| | `baseline` | 兼容 OpenSec 的基线流程 | | `evidence_gate_only` | 用于快速本地检查和策略测试的确定性 defender | | `full_agentic` | 带有可选 RAG 和 LLM 调用的智能体验证器/响应器工作流 | ## 快速开始 ``` py -m pip install -e ".[dev]" py -m pytest -q ``` 运行确定性冒烟评估: ``` py scripts\eval.py --defender evidence_gate_only --no-rag --split train --limit 5 --output outputs\smoke.jsonl --summary outputs\smoke_summary.json ``` 默认情况下,评估脚本期望在 `..\opensec-env` 找到 OpenSec 检出代码。如果您的检出代码位于其他位置,请使用 `--opensec-root path\to\opensec-env`。 ## RAG 和安全上下文 RAG 是可选的,可以使用 `--no-rag` 禁用以进行确定性实验。要构建本地检索数据: ``` py scripts\fetch_rag_corpora.py py scripts\build_rag_chunks.py py scripts\build_qdrant_index.py --chunks data\rag\chunks.jsonl --device cpu ``` ## 评估和调试 ``` py scripts\summarize.py outputs\smoke.jsonl --output outputs\smoke_rollup.json py scripts\analyze_failures.py outputs\smoke.jsonl ``` 针对性测试运行: ``` py -m pytest tests\test_agent.py -q py -m pytest tests\test_policy.py tests\test_report_readiness.py -q py -m pytest tests\test_rag_build.py tests\test_regex_classifier.py -q py -m compileall -q defender scripts ``` ## 项目布局 | 路径 | 用途 | |---|---| | `defender/` | Agent、graph、policy、验证器、扫描器、RAG 和 LLM 代码 | | `scripts/` | 评估、摘要、RAG 构建和故障分析工具 | | `configs/` | Defender、校准和 prompt-injection regex 配置 | | `tests/` | 针对 defender 行为的针对性 pytest 覆盖测试 | | `docs/` | 实现说明、基准测试说明和部署文档 | | `outputs/` | 本地评估输出和摘要 | ## 为什么这不简单 这不是一个 CRUD 应用或简单的 prompt 包装器。该系统将证据收集、验证、策略控制、响应生成和评估分离开来,以便可以测试 SOC 操作在对抗条件下的正确性、依据和鲁棒性。 ## 状态 有关实现说明和基准测试状态,请参阅 `docs\progress.md` 和 `docs\baseline_parity.md`。
标签:AI智能体, C2, RAG, SOC运营, 安全规则引擎, 评估框架, 逆向工具