GurukiranShiv/ai-augmented-soc-lab

GitHub: GurukiranShiv/ai-augmented-soc-lab

集成主流安全运营工具与本地大语言模型的开源 SOC 实验室,实现从告警检测、AI 分诊到案件管理的自动化流水线。

Stars: 0 | Forks: 0

# AI 增强型 SOC 实验室 [![CI](https://static.pigsec.cn/wp-content/uploads/repos/cas/ad/ad5834178f7599af9fdda11629d49cae07f2997beec49821b2920eff5bfd50e7.svg)](https://github.com/GurukiranShiv/ai-augmented-soc-lab/actions) [![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red)](https://attack.mitre.org/) 一个完整的开源安全运营中心 (SOC) 实验室,并增强了本地 AI 决策支持层。专为学习、研究和实战蓝队技能培养而构建。 ## 架构 ``` Logs / Events (Wazuh, Suricata, Zeek) ↓ SIEM (Elastic via Wazuh) ↓ Alert Trigger ↓ Shuffle (SOAR) ↓ Enrichment Phase ├─ MISP (threat intel) ├─ Cortex analyzers └─ External APIs ↓ AI Engine (Ollama + LangChain) ↓ Output: - Alert summary - Severity classification - MITRE ATT&CK mapping - Response recommendation ↓ TheHive Case Creation ↓ Analyst Decision / Automated Response ``` ## 技术栈 | 组件 | 角色 | |-----------|------| | **Wazuh** | SIEM + EDR + 日志聚合 | | **Suricata** | 网络 IDS/IPS | | **Zeek** | 网络流量分析 | | **TheHive** | 案件管理 | | **Cortex** | 告警丰富化 / 分析器 | | **Shuffle** | SOAR / 工作流自动化 | | **MISP** | 威胁情报平台 | | **Ollama** | 本地 LLM 推理(隐私安全) | | **LangChain** | AI pipeline 编排 | ## 截图 ### Wazuh SIEM — 安全运营仪表板 ![Wazuh 安全运营仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/88/8849b83ed020be86fe8d725a528fe00d9ce1d879936a5bb85245b763b63d2ec9.png) ### Wazuh — 端点安全视图 ![Wazuh 端点安全](https://static.pigsec.cn/wp-content/uploads/repos/cas/13/13d719634d81968b3ba987b89264e2b7c26c4ad1f37fe3173329838f08b41b9a.png) ### Wazuh — 威胁情报面板 ![Wazuh 威胁情报](https://static.pigsec.cn/wp-content/uploads/repos/cas/eb/ebe83361dff592f0e773ec5862f22dc8eb1dc5b4fbf952f73440bfaaab33eb28.png) ### TheHive — 增强型案件管理 ![TheHive 案件管理](https://static.pigsec.cn/wp-content/uploads/repos/cas/81/81aa0c787d595cf08b6e6c0f9b53e1f9a1e955bbe1022174d4900057fcca81dc.png) ### TheHive — 集中告警管理 ![TheHive 告警管理](https://static.pigsec.cn/wp-content/uploads/repos/cas/ac/ac07e8c30864be4c11256372f229f81947dbe6c3fbe1468908a2177f5e8eed2c.png) ### TheHive + Cortex — 自动化分析与响应 ![TheHive Cortex 响应](https://static.pigsec.cn/wp-content/uploads/repos/cas/3a/3aa95f71987e286c53141bfdf289eeb3029c94120bbb67409c5590f3aeac344d.png) ### Shuffle SOAR — 工作流自动化 ![Shuffle SOAR 工作流](https://static.pigsec.cn/wp-content/uploads/repos/cas/2c/2c6b185daa3c2089ade6d24f6dbb8c0f1438e3d4115a698418e7eb8dda9ce8a9.png) ### MISP — 实时威胁情报仪表板 ![MISP 实时仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/9f/9f88bd1ecddc5d6abdd6f36bfb153c8032d61587ed5cc23abbdb8bfc0acc02e3.png) ### MISP — 趋势威胁指标 ![MISP 趋势指标](https://static.pigsec.cn/wp-content/uploads/repos/cas/24/24f55101ecd16f85421f97c5261a3880b0c76f5c4fd6630cc2522aec4931e064.png) ### Ollama — 本地 LLM 界面 (Open WebUI) ![Ollama Open WebUI](https://static.pigsec.cn/wp-content/uploads/repos/cas/f9/f98fb83399e24a43631bbfa6585827e3ab917c32bb1577e7303f5549ac84a152.png) ## AI 用例 ### 1. 告警摘要 将原始日志数据转换为结构化、分析师易读的摘要,并包含 MITRE ATT&CK 映射。 ### 2. 减少误报 AI 过滤已知的扫描器、内部漏洞扫描和维护窗口期的流量。 ### 3. 自动化分诊 (L1 替代层) AI 将告警分类为:`CLOSE` / `ESCALATE` / `ENRICH` — 并附带置信度分数。 ### 4. Playbook 生成 给定告警类型,AI 会生成一个循序渐进的事件响应工作流。 ### 5. 自然语言 SIEM 查询 用纯英语提问,并返回 Elasticsearch DSL 查询语句。 ## 快速开始 ### 前置条件 - Docker + Docker Compose - 最低 16 GB 内存(推荐 32 GB) - 100 GB 磁盘空间 - Linux(推荐 Ubuntu 22.04)或 WSL2 ### 1. 克隆仓库 ``` git clone https://github.com/GurukiranShiv/ai-augmented-soc-lab.git cd ai-augmented-soc-lab ``` ### 2. 部署核心技术栈 ``` chmod +x scripts/deploy.sh ./scripts/deploy.sh ``` ### 3. 拉取 AI 模型 ``` ./scripts/setup-ollama.sh ``` ### 4. 启动 AI 引擎 ``` cd ai-engine pip install -r requirements.txt python app.py ``` ### 5. 导入 Shuffle 工作流 将 `shuffle-workflows/` 中的 JSON 文件导入到你的 Shuffle 实例中。 ## 项目结构 ``` ai-augmented-soc-lab/ ├── docker/ # Docker Compose configs per service │ ├── docker-compose.wazuh.yml │ ├── docker-compose.thehive.yml │ ├── docker-compose.shuffle.yml │ ├── docker-compose.misp.yml │ └── docker-compose.ollama.yml ├── ai-engine/ # Python AI pipeline │ ├── app.py # FastAPI server │ ├── analyzer.py # Core alert analysis logic │ ├── prompts/ # LLM prompt templates │ │ ├── triage.txt │ │ ├── summary.txt │ │ └── playbook.txt │ └── requirements.txt ├── shuffle-workflows/ # SOAR automation workflows │ ├── ssh-bruteforce.json │ ├── malware-detection.json │ └── data-exfiltration.json ├── wazuh-config/ # Custom Wazuh rules and decoders │ ├── custom-rules.xml │ └── ossec.conf ├── thehive-config/ # TheHive case templates │ └── case-templates.json ├── scripts/ # Deployment and utility scripts │ ├── deploy.sh │ ├── setup-ollama.sh │ ├── test-pipeline.sh │ └── send-test-alert.py └── docs/ # Extended documentation ├── setup-guide.md ├── ai-prompts.md ├── mitre-mapping.md └── screenshots/ # All UI screenshots ``` ## 安全注意事项 - 所有 LLM 推理均通过 **Ollama 在本地运行** — 没有任何数据离开你的网络 - AI 的输出仅作 **参考建议** — 分析师保留最终决定权 - 每一项 AI 决策都 **记录了时间戳、置信度分数和推理过程** - 避免将原始日志发送给基于云端的 LLM ## 每日构建计划 | 天数 | 任务 | |-----|------| | 1-2 | 部署 Wazuh + 连接端点 | | 3 | 部署 TheHive + Cortex | | 4 | 部署 Shuffle + 配置 webhook | | 5 | 安装 Ollama + 拉取 LLaMA 3 | | 6-7 | 连接 pipeline: Shuffle → AI 引擎 → TheHive | ## 支持的 AI 模型(通过 Ollama) | 模型 | 大小 | 最适用场景 | |-------|------|----------| | `llama3` | 8B | 常规分诊,均衡 | | `mistral` | 7B | 快速分诊,低内存 | | `phi3` | 3.8B | 资源占用最小化 | | `llama3:70b` | 70B | 高精度分析 | ## 许可证 MIT — 可自由使用、修改和分享。 ## 👤 作者 **Gurukiran Shivashankar** - GitHub: [@GurukiranShiv](https://github.com/GurukiranShiv) - LinkedIn: [添加你的 LinkedIn 个人资料](https://www.linkedin.com/) - Email: your.email@example.com **如果这个仓库对你有帮助,请点个 Star — 这能帮助其他 SOC 分析师发现它!**
标签:AI风险缓解, LLM, Metaprompt, SOAR, Unmanaged PE, 安全实验室, 安全运营, 扫描框架, 版权保护, 请求拦截, 逆向工具