Trinanjan2003/threatmind-ai
GitHub: Trinanjan2003/threatmind-ai
基于多智能体 AI 架构的企业级本地威胁狩猎与安全运营平台,通过自主化告警分诊、检测工程和事件响应来替代安全分析师的手工流程。
Stars: 0 | Forks: 0
# 🛡️ ThreatMind AI
### 企业级 AI 驱动的威胁狩猎与安全运营平台
*由多智能体 AI 系统驱动的自主威胁狩猎、告警分诊和事件响应——完全运行在免费、本地、开源的基础设施上。*
[](LICENSE)
[](https://www.python.org)
[](https://fastapi.tiangolo.com)
[](https://nextjs.org)
[](https://ollama.com)
## 概述
**ThreatMind AI** 是一个企业级的安全运营中心 (SOC) 平台,它能够自动化分析师目前手工完成的工作——调查告警、关联日志、查询威胁情报、将活动映射到 MITRE ATT&CK 以及编写事件报告。
它围绕**多智能体 AI 架构** (LangGraph) 构建,专业的智能体协作在端点、云工作负载、身份和网络设备中自主狩猎威胁。
## 核心能力
| 能力 | 描述 |
|---|---|
| 🤖 **多智能体威胁狩猎** | 8 个专业的 LangGraph 智能体协同工作并共享内存 |
| 📥 **通用数据接入** | Sysmon、Windows 事件日志、Linux auditd、CrowdStrike、Sentinel、Splunk、Elastic、Zeek、Suricata、防火墙/DNS/代理日志、CloudTrail、Azure 和 GCP 审计日志 |
| 🎯 **AI 检测** | 勒索软件、凭据转储、权限提升、持久化、横向移动、LotL、数据泄露、C2、内部人员及云威胁——附带置信度分数 + 证据 |
| 🧬 **攻击时间轴重建** | 映射到 MITRE ATT&CK kill chain 的可视化攻击链 |
| 💬 **AI 对话调查** | 提出自然语言问题;获取附带引用证据的、分析师级别的解答 |
| ⚙️ **检测工程** | 自动生成 Sigma、YARA、Suricata 规则,以及 Splunk SPL 和 KQL 查询 |
| 🔐 **企业级安全** | JWT、OAuth/SSO、MFA、RBAC(4 种角色)、审计日志记录、速率限制、加密 |
| 📊 **高级 SOC UI** | 深色/浅色模式、完全响应式、交互式图表、威胁热力图、MITRE 矩阵 |
## 架构概览
```
┌─────────────────────────────────────────────────────────────────┐
│ Frontend (Next.js + shadcn/ui) │
│ Dashboard · Investigations · MITRE Matrix · Timeline · Chat │
└───────────────────────────────┬───────────────────────────────────┘
│ REST / WebSocket
┌───────────────────────────────▼───────────────────────────────────┐
│ API Gateway (FastAPI) │
│ Auth · RBAC · Rate Limiting · Audit · OpenAPI │
├───────────────────────────────────────────────────────────────────┤
│ Application Layer (use cases, orchestration, DI) │
├───────────────────────────────────────────────────────────────────┤
│ Domain Layer (entities, value objects, business rules) │
├───────────────────────────────────────────────────────────────────┤
│ Infrastructure (repositories, parsers, LLM, search) │
└───────┬───────────────┬───────────────┬───────────────┬───────────┘
│ │ │ │
┌────▼────┐ ┌─────▼─────┐ ┌─────▼──────┐ ┌────▼─────┐
│Postgres │ │ Redis │ │Elasticsearch│ │ Ollama │
│ (state) │ │(cache/bus)│ │ (log search)│ │ (LLM) │
└─────────┘ └───────────┘ └────────────┘ └──────────┘
▲
┌───────────────┴────────────────┐
│ LangGraph Multi-Agent Engine │
│ ThreatIntel · IOC · LogInvest · │
│ Malware · MITRE · RiskScore · │
│ Reporting · DetectionEng │
└──────────────────────────────────┘
```
完整设计请参阅 [`docs/02-system-architecture.md`](docs/02-system-architecture.md)。
## 技术栈
**后端** — Python 3.11+ · FastAPI · SQLAlchemy 2 · Alembic · Pydantic v2 · LangGraph · PostgreSQL · Redis · Elasticsearch
**前端** — Next.js 14 (App Router) · TypeScript · TailwindCSS · shadcn/ui · Framer Motion · Recharts · TanStack Query
**AI** — Ollama(本地 LLM:`llama3.1`、`qwen2.5` 等),位于可插拔的 provider 接口之后
**基础设施** — Docker · Docker Compose · Kubernetes · GitHub Actions · Prometheus · Grafana · OpenTelemetry
## 快速开始
```
# 1. Clone & configure
git clone 标签:AI风险缓解, DLL 劫持, IP 地址批量处理, PE 加载器, Web报告查看器, 多智能体, 大语言模型, 子域名突变, 安全运营, 扫描框架, 搜索引擎查询, 本地部署, 测试用例, 知识库安全, 请求拦截, 逆向工具