GurukiranShiv/ai-augmented-soc-lab
GitHub: GurukiranShiv/ai-augmented-soc-lab
集成主流安全运营工具与本地大语言模型的开源 SOC 实验室,实现从告警检测、AI 分诊到案件管理的自动化流水线。
Stars: 0 | Forks: 0
# AI 增强型 SOC 实验室
[](https://github.com/GurukiranShiv/ai-augmented-soc-lab/actions) [](https://attack.mitre.org/)
一个完整的开源安全运营中心 (SOC) 实验室,并增强了本地 AI 决策支持层。专为学习、研究和实战蓝队技能培养而构建。
## 架构
```
Logs / Events
(Wazuh, Suricata, Zeek)
↓
SIEM (Elastic via Wazuh)
↓
Alert Trigger
↓
Shuffle (SOAR)
↓
Enrichment Phase
├─ MISP (threat intel)
├─ Cortex analyzers
└─ External APIs
↓
AI Engine (Ollama + LangChain)
↓
Output:
- Alert summary
- Severity classification
- MITRE ATT&CK mapping
- Response recommendation
↓
TheHive Case Creation
↓
Analyst Decision / Automated Response
```
## 技术栈
| 组件 | 角色 |
|-----------|------|
| **Wazuh** | SIEM + EDR + 日志聚合 |
| **Suricata** | 网络 IDS/IPS |
| **Zeek** | 网络流量分析 |
| **TheHive** | 案件管理 |
| **Cortex** | 告警丰富化 / 分析器 |
| **Shuffle** | SOAR / 工作流自动化 |
| **MISP** | 威胁情报平台 |
| **Ollama** | 本地 LLM 推理(隐私安全) |
| **LangChain** | AI pipeline 编排 |
## 截图
### Wazuh SIEM — 安全运营仪表板

### Wazuh — 端点安全视图

### Wazuh — 威胁情报面板

### TheHive — 增强型案件管理

### TheHive — 集中告警管理

### TheHive + Cortex — 自动化分析与响应

### Shuffle SOAR — 工作流自动化

### MISP — 实时威胁情报仪表板

### MISP — 趋势威胁指标

### Ollama — 本地 LLM 界面 (Open WebUI)

## AI 用例
### 1. 告警摘要
将原始日志数据转换为结构化、分析师易读的摘要,并包含 MITRE ATT&CK 映射。
### 2. 减少误报
AI 过滤已知的扫描器、内部漏洞扫描和维护窗口期的流量。
### 3. 自动化分诊 (L1 替代层)
AI 将告警分类为:`CLOSE` / `ESCALATE` / `ENRICH` — 并附带置信度分数。
### 4. Playbook 生成
给定告警类型,AI 会生成一个循序渐进的事件响应工作流。
### 5. 自然语言 SIEM 查询
用纯英语提问,并返回 Elasticsearch DSL 查询语句。
## 快速开始
### 前置条件
- Docker + Docker Compose
- 最低 16 GB 内存(推荐 32 GB)
- 100 GB 磁盘空间
- Linux(推荐 Ubuntu 22.04)或 WSL2
### 1. 克隆仓库
```
git clone https://github.com/GurukiranShiv/ai-augmented-soc-lab.git
cd ai-augmented-soc-lab
```
### 2. 部署核心技术栈
```
chmod +x scripts/deploy.sh
./scripts/deploy.sh
```
### 3. 拉取 AI 模型
```
./scripts/setup-ollama.sh
```
### 4. 启动 AI 引擎
```
cd ai-engine
pip install -r requirements.txt
python app.py
```
### 5. 导入 Shuffle 工作流
将 `shuffle-workflows/` 中的 JSON 文件导入到你的 Shuffle 实例中。
## 项目结构
```
ai-augmented-soc-lab/
├── docker/ # Docker Compose configs per service
│ ├── docker-compose.wazuh.yml
│ ├── docker-compose.thehive.yml
│ ├── docker-compose.shuffle.yml
│ ├── docker-compose.misp.yml
│ └── docker-compose.ollama.yml
├── ai-engine/ # Python AI pipeline
│ ├── app.py # FastAPI server
│ ├── analyzer.py # Core alert analysis logic
│ ├── prompts/ # LLM prompt templates
│ │ ├── triage.txt
│ │ ├── summary.txt
│ │ └── playbook.txt
│ └── requirements.txt
├── shuffle-workflows/ # SOAR automation workflows
│ ├── ssh-bruteforce.json
│ ├── malware-detection.json
│ └── data-exfiltration.json
├── wazuh-config/ # Custom Wazuh rules and decoders
│ ├── custom-rules.xml
│ └── ossec.conf
├── thehive-config/ # TheHive case templates
│ └── case-templates.json
├── scripts/ # Deployment and utility scripts
│ ├── deploy.sh
│ ├── setup-ollama.sh
│ ├── test-pipeline.sh
│ └── send-test-alert.py
└── docs/ # Extended documentation
├── setup-guide.md
├── ai-prompts.md
├── mitre-mapping.md
└── screenshots/ # All UI screenshots
```
## 安全注意事项
- 所有 LLM 推理均通过 **Ollama 在本地运行** — 没有任何数据离开你的网络
- AI 的输出仅作 **参考建议** — 分析师保留最终决定权
- 每一项 AI 决策都 **记录了时间戳、置信度分数和推理过程**
- 避免将原始日志发送给基于云端的 LLM
## 每日构建计划
| 天数 | 任务 |
|-----|------|
| 1-2 | 部署 Wazuh + 连接端点 |
| 3 | 部署 TheHive + Cortex |
| 4 | 部署 Shuffle + 配置 webhook |
| 5 | 安装 Ollama + 拉取 LLaMA 3 |
| 6-7 | 连接 pipeline: Shuffle → AI 引擎 → TheHive |
## 支持的 AI 模型(通过 Ollama)
| 模型 | 大小 | 最适用场景 |
|-------|------|----------|
| `llama3` | 8B | 常规分诊,均衡 |
| `mistral` | 7B | 快速分诊,低内存 |
| `phi3` | 3.8B | 资源占用最小化 |
| `llama3:70b` | 70B | 高精度分析 |
## 许可证
MIT — 可自由使用、修改和分享。
## 👤 作者
**Gurukiran Shivashankar**
- GitHub: [@GurukiranShiv](https://github.com/GurukiranShiv)
- LinkedIn: [添加你的 LinkedIn 个人资料](https://www.linkedin.com/)
- Email: your.email@example.com
**如果这个仓库对你有帮助,请点个 Star — 这能帮助其他 SOC 分析师发现它!**
标签:AI风险缓解, LLM, Metaprompt, SOAR, Unmanaged PE, 安全实验室, 安全运营, 扫描框架, 版权保护, 请求拦截, 逆向工具