huynhtrungcsc/genai-soc-labs

GitHub: huynhtrungcsc/genai-soc-labs

收录29个生成式AI实验的单体仓库,专注将大语言模型和RAG技术应用于SOC安全运营工作流的工程化实践。

Stars: 1 | Forks: 0

# GenAI SOC Labs 应用于安全运营中心(SOC)工作流和 AI 网络安全工程的生成式 AI 系统。 [![License: MIT](https://img.shields.io/badge/License-MIT-0f766e.svg)](LICENSE) [![Labs](https://img.shields.io/badge/Labs-29-111827.svg)](#lab-catalog) [![Focus](https://img.shields.io/badge/Focus-SOC%20%7C%20Blue%20Team-1d4ed8.svg)](#scope) [![Status](https://img.shields.io/badge/Status-Portfolio%20Scaffold-374151.svg)](#roadmap) [概述](#overview) · [实验目录](#lab-catalog) · [架构](docs/architecture.md) · [评估](docs/evaluation.md) · [安全](SECURITY.md) · [贡献](CONTRIBUTING.md)
## 概述 `genai-soc-labs` 是一个包含 29 个动手实验的单体仓库(monorepo)作品集,专注于生成式 AI 与网络安全的交叉领域。主要关注点是 SOC 工程:事件响应、威胁狩猎、SIEM 工作流、威胁情报、SOAR 辅助、取证时间线以及分析师赋能。 目标是展示实用的 AI 网络安全工程,而不仅仅是 prompt 的使用。每个实验都旨在发展成为一个生产级 Web 应用,包含身份验证、基于角色的访问控制、清晰的用户体验、部署、评估以及负责任的安全边界。 ## 范围 本仓库专为具有 SOC 专长的 AI 网络安全工程师作品集而组织。 核心工程主题: - LLM 辅助的调查工作流 - 针对安全知识的检索增强生成(RAG) - 日志解析、标准化与关联 - 带有引用和证据的面向分析师的解释 - 针对敏感响应操作的人工审批 - 安全即设计的应用脚手架 - 针对 hallucination、precision、recall 和实际效用的评估 ## 实验目录 | # | 实验 | 领域 | 方法 | 路线 | |---|---|---|---|---| | 01 | [IncidentLens: AI Incident Report Assistant](labs/01-incidentlens-incident-report/) | 事件响应 | LLM + RAG | Flagship | | 02 | [QueryForge: Natural Language SIEM Assistant](labs/02-queryforge-siem-assistant/) | 威胁狩猎 | LLM + Text-to-Query | Flagship | | 03 | [ThreatPulse: AI Threat Intelligence Briefing](labs/03-threatpulse-threat-intel/) | 威胁情报 | RAG + LLM | Flagship | | 04 | [PhishGuard: Context-Aware Phishing Detection](labs/04-phishguard-phishing-detection/) | 邮件安全 | LLM + Classification | Backlog | | 05 | [HardeningPilot: CIS/ISO Security Advisor](labs/05-hardeningpilot-compliance-advisor/) | 合规与加固 | RAG + LLM | Backlog | | 06 | [BehaviorSentinel: UEBA Risk Detection](labs/06-behaviorsentinel-ueba/) | 内部威胁 | Anomaly Detection + LLM | Backlog | | 07 | [PlaybookOps: SOAR Response Assistant](labs/07-playbookops-soar-assistant/) | SOAR | LLM + Workflow | Flagship | | 08 | [RiskRanker: Vulnerability Prioritization Engine](labs/08-riskranker-vulnerability-risk/) | 漏洞管理 | LLM + Analytics | Backlog | | 09 | [MalwareLens: Static Malware Analysis Assistant](labs/09-malwarelens-static-analysis/) | 恶意软件分析 | LLM + Static Analysis | Backlog | | 10 | [VendorShield: Third-Party Risk Assessor](labs/10-vendorshield-third-party-risk/) | 第三方风险 | RAG + LLM | Backlog | | 11 | [AwareOps: Security Awareness & Phishing Simulation](labs/11-awareops-security-awareness/) | 安全意识 | LLM + Personalization | Backlog | | 12 | [LeakWatch: Data Leak Monitoring Assistant](labs/12-leakwatch-data-leak-monitoring/) | 数据泄露监控 | LLM + Monitoring | Backlog | | 13 | [NetBeacon: C2 & Exfiltration Detection](labs/13-netbeacon-c2-exfil-detection/) | 网络检测 | ML + LLM | Flagship | | 14 | [PolicyRAG: Security Policy Assistant](labs/14-policyrag-security-policy/) | 策略管理 | RAG + LLM | Backlog | | 15 | [CodeTriage: SAST Finding Assistant](labs/15-codetriage-sast-assistant/) | 应用安全 | LLM + Code Analysis | Backlog | | 16 | [AuditFlow: Compliance Evidence Generator](labs/16-auditflow-evidence-reporting/) | 合规报告 | RAG + LLM | Backlog | | 17 | [SurfaceMap: Attack Surface Management AI](labs/17-surfacemap-attack-surface/) | ASM | LLM + Recon | Backlog | | 18 | [ForensicTrace: Investigation Timeline Builder](labs/18-forensictrace-timeline-builder/) | 数字取证 | LLM + Correlation | Flagship | | 19 | [SOCMentor: Tier-1 Analyst Assistant](labs/19-socmentor-tier1-assistant/) | SOC Assistant | RAG + LLM | Flagship | | 20 | [CloudGuardAI: CSPM Risk Advisor](labs/20-cloudguardai-cspm/) | 云安全 | LLM + Analytics | Backlog | | 21 | [FraudSignal: Transaction Fraud Detection](labs/21-fraudsignal-fraud-detection/) | 欺诈检测 | ML + LLM | Backlog | | 22 | [RedReport: Defensive Red Team Reporting Assistant](labs/22-redreport-redteam-reporting/) | 进攻性安全(防御用途) | LLM + RAG | Backlog | | 23 | [PrivacyPilot: Vietnam PDPD Compliance Assistant](labs/23-privacypilot-pdpd-compliance/) | 数据隐私合规 | RAG + LLM | Backlog | | 24 | [DeepfakeShield: Synthetic Media Detection](labs/24-deepfakeshield-detection/) | Deepfake 检测 | Vision/Audio + LLM | Backlog | | 25 | [ExecBrief: Executive Security Reporting AI](labs/25-execbrief-security-brief/) | 高管报告 | LLM + Analytics | Backlog | | 26 | [DataSentinel: Data Classification & DLP Assistant](labs/26-datasentinel-dlp-classification/) | 数据保护 | LLM + Classification | Backlog | | 27 | [BreachSim: Defensive Attack Simulation Planner](labs/27-breachsim-defense-validation/) | 违规模拟 | LLM + RAG | Backlog | | 28 | [AccessMind: IAM Governance Reviewer](labs/28-accessmind-iam-governance/) | 身份治理 | LLM + Analytics | Backlog | | 29 | [IoTWatch: IoT/OT Security Monitoring AI](labs/29-iotwatch-iot-ot-security/) | IoT/OT 安全 | ML + LLM | Backlog | ## 仓库结构 ``` genai-soc-labs/ README.md CONTRIBUTING.md LICENSE SECURITY.md CODE_OF_CONDUCT.md docs/ architecture.md evaluation.md roadmap.md security-and-ethics.md source-briefs.tsv labs/ 01-incidentlens-incident-report/ README.md 02-queryforge-siem-assistant/ README.md ... 29-iotwatch-iot-ot-security/ README.md shared/ README.md .github/ ISSUE_TEMPLATE/ PULL_REQUEST_TEMPLATE.md ``` ## 实施标准 每个完成的实验都应达到相同的最低标准: - 完整的 Web 应用程序,而不仅仅是 notebook 或 CLI 原型 - 在可安全公开的情况下,通过公共的演示 URL 进行在线部署 - 身份验证和基本的基于角色的访问控制 - 针对分析师工作流的清晰 UI/UX - 适合公开发布的样本数据或合成数据集 - 有文档记录的架构和安全假设 - 针对模型质量和操作风险的评估说明 - 仅限于防御性安全的负责任使用边界 ## 路线图 旗舰级 SOC 实验会优先推进: 1. IncidentLens: AI Incident Report Assistant 2. QueryForge: Natural Language SIEM Assistant 3. ThreatPulse: AI Threat Intelligence Briefing 4. PlaybookOps: SOAR Response Assistant 5. NetBeacon: C2 & Exfiltration Detection 6. ForensicTrace: Investigation Timeline Builder 7. SOCMentor: Tier-1 Analyst Assistant 请参阅 [docs/roadmap.md](docs/roadmap.md) 获取完整计划。 ## 负责任的使用 这些实验旨在用于防御性安全、教育以及经过授权的企业安全工作流。它们避免漏洞生成、恶意软件创建、凭据滥用或未经授权的侦察。请参阅 [docs/security-and-ethics.md](docs/security-and-ethics.md) 和 [SECURITY.md](SECURITY.md)。 ## 许可证 基于 [MIT License](LICENSE) 发布。
标签:C2, DLL 劫持, SOC运营, 大语言模型, 学习教程, 安全运营中心, 生成式AI, 索引, 网络安全, 网络映射, 逆向工具, 隐私保护