Trinanjan2003/threatmind-ai

GitHub: Trinanjan2003/threatmind-ai

基于多智能体 AI 架构的企业级本地威胁狩猎与安全运营平台,通过自主化告警分诊、检测工程和事件响应来替代安全分析师的手工流程。

Stars: 0 | Forks: 0

# 🛡️ ThreatMind AI ### 企业级 AI 驱动的威胁狩猎与安全运营平台 *由多智能体 AI 系统驱动的自主威胁狩猎、告警分诊和事件响应——完全运行在免费、本地、开源的基础设施上。* [![License: Apache 2.0](https://img.shields.io/badge/License-Apache_2.0-blue.svg)](LICENSE) [![Python 3.11+](https://img.shields.io/badge/python-3.11+-blue.svg)](https://www.python.org) [![FastAPI](https://img.shields.io/badge/FastAPI-0.110+-009688.svg)](https://fastapi.tiangolo.com) [![Next.js 14](https://img.shields.io/badge/Next.js-14-black.svg)](https://nextjs.org) [![Ollama](https://img.shields.io/badge/LLM-Ollama-000000.svg)](https://ollama.com)
## 概述 **ThreatMind AI** 是一个企业级的安全运营中心 (SOC) 平台,它能够自动化分析师目前手工完成的工作——调查告警、关联日志、查询威胁情报、将活动映射到 MITRE ATT&CK 以及编写事件报告。 它围绕**多智能体 AI 架构** (LangGraph) 构建,专业的智能体协作在端点、云工作负载、身份和网络设备中自主狩猎威胁。 ## 核心能力 | 能力 | 描述 | |---|---| | 🤖 **多智能体威胁狩猎** | 8 个专业的 LangGraph 智能体协同工作并共享内存 | | 📥 **通用数据接入** | Sysmon、Windows 事件日志、Linux auditd、CrowdStrike、Sentinel、Splunk、Elastic、Zeek、Suricata、防火墙/DNS/代理日志、CloudTrail、Azure 和 GCP 审计日志 | | 🎯 **AI 检测** | 勒索软件、凭据转储、权限提升、持久化、横向移动、LotL、数据泄露、C2、内部人员及云威胁——附带置信度分数 + 证据 | | 🧬 **攻击时间轴重建** | 映射到 MITRE ATT&CK kill chain 的可视化攻击链 | | 💬 **AI 对话调查** | 提出自然语言问题;获取附带引用证据的、分析师级别的解答 | | ⚙️ **检测工程** | 自动生成 Sigma、YARA、Suricata 规则,以及 Splunk SPL 和 KQL 查询 | | 🔐 **企业级安全** | JWT、OAuth/SSO、MFA、RBAC(4 种角色)、审计日志记录、速率限制、加密 | | 📊 **高级 SOC UI** | 深色/浅色模式、完全响应式、交互式图表、威胁热力图、MITRE 矩阵 | ## 架构概览 ``` ┌─────────────────────────────────────────────────────────────────┐ │ Frontend (Next.js + shadcn/ui) │ │ Dashboard · Investigations · MITRE Matrix · Timeline · Chat │ └───────────────────────────────┬───────────────────────────────────┘ │ REST / WebSocket ┌───────────────────────────────▼───────────────────────────────────┐ │ API Gateway (FastAPI) │ │ Auth · RBAC · Rate Limiting · Audit · OpenAPI │ ├───────────────────────────────────────────────────────────────────┤ │ Application Layer (use cases, orchestration, DI) │ ├───────────────────────────────────────────────────────────────────┤ │ Domain Layer (entities, value objects, business rules) │ ├───────────────────────────────────────────────────────────────────┤ │ Infrastructure (repositories, parsers, LLM, search) │ └───────┬───────────────┬───────────────┬───────────────┬───────────┘ │ │ │ │ ┌────▼────┐ ┌─────▼─────┐ ┌─────▼──────┐ ┌────▼─────┐ │Postgres │ │ Redis │ │Elasticsearch│ │ Ollama │ │ (state) │ │(cache/bus)│ │ (log search)│ │ (LLM) │ └─────────┘ └───────────┘ └────────────┘ └──────────┘ ▲ ┌───────────────┴────────────────┐ │ LangGraph Multi-Agent Engine │ │ ThreatIntel · IOC · LogInvest · │ │ Malware · MITRE · RiskScore · │ │ Reporting · DetectionEng │ └──────────────────────────────────┘ ``` 完整设计请参阅 [`docs/02-system-architecture.md`](docs/02-system-architecture.md)。 ## 技术栈 **后端** — Python 3.11+ · FastAPI · SQLAlchemy 2 · Alembic · Pydantic v2 · LangGraph · PostgreSQL · Redis · Elasticsearch **前端** — Next.js 14 (App Router) · TypeScript · TailwindCSS · shadcn/ui · Framer Motion · Recharts · TanStack Query **AI** — Ollama(本地 LLM:`llama3.1`、`qwen2.5` 等),位于可插拔的 provider 接口之后 **基础设施** — Docker · Docker Compose · Kubernetes · GitHub Actions · Prometheus · Grafana · OpenTelemetry ## 快速开始 ``` # 1. Clone & configure git clone threatmind-ai && cd threatmind-ai cp .env.example .env # macOS / Linux # copy .env.example .env # Windows (PowerShell: Copy-Item .env.example .env) # 2. 拉取本地 model ollama pull llama3.1 # 3. 启动完整 stack docker compose up -d # 4. 打开 app # Frontend → http://localhost:3000 # API 文档 → http://localhost:8000/docs ``` 详细的设置(包括原生运行后端/前端以进行开发)位于 [`docs/11-deployment-guide.md`](docs/11-deployment-guide.md) 中。 ## 文档 | 文档 | 内容 | |---|---| | [01 – PRD](docs/01-prd.md) | 产品需求、用户画像、用户故事 | | [02 – 系统架构](docs/02-system-architecture.md) | 组件、数据流、智能体设计 | | [03 – 数据库 Schema](docs/03-database-schema.md) | ERD、表、关系 | | [04 – API 设计](docs/04-api-design.md) | Endpoint、契约、错误模型 | | [05 – 文件夹结构](docs/05-folder-structure.md) | Monorepo 布局与约定 | | [06 – 安全模型](docs/06-security-model.md) | AuthN/Z、RBAC、威胁模型 | | [11 – 部署指南](docs/11-deployment-guide.md) | 本地、Docker、K8s、CI/CD | ## 项目状态 所有六个交付阶段均已就位(基础 → 前端 → 数据接入/检测 → 多智能体引擎 → AI 对话 → 检测工程/MITRE/时间轴 → 强化/基础设施)。阶段计划请参阅 [`docs/00-roadmap.md`](docs/00-roadmap.md), 关于每个交付物在仓库中位置的映射,请参阅 [`docs/12-deliverables-map.md`](docs/12-deliverables-map.md)。 采用垂直切片方式构建:这是一个连贯、可运行、架构正确的平台, 涵盖了所有要求的领域。两个数据源解析器已完全实现(Sysmon、CloudTrail); 其余声明的数据源遵循相同的 `LogParser` 接口。AI 功能在本地 Ollama 上运行, 在不可用时,会优雅降级为确定性启发式算法。 ## 许可证 Apache 2.0 — 详见 [LICENSE](LICENSE)。仅使用免费和开源软件构建。
标签:AI风险缓解, DLL 劫持, IP 地址批量处理, PE 加载器, Web报告查看器, 多智能体, 大语言模型, 子域名突变, 安全运营, 扫描框架, 搜索引擎查询, 本地部署, 测试用例, 知识库安全, 请求拦截, 逆向工具