MAYORTHELION/Owleye-AI

GitHub: MAYORTHELION/Owleye-AI

基于七智能体架构的自主 SOC 平台,实现从威胁检测、调查、审批到遏制和报告的全流程自动化安全运营闭环。

Stars: 0 | Forks: 0

# 🦉 OwlEye AI — 自主 SOC 智能平台 ![Python](https://img.shields.io/badge/Python-3.13-blue) ![Flask](https://img.shields.io/badge/Flask-3.0-lightgrey) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red) ![License](https://img.shields.io/badge/License-MIT-green) ![Status](https://img.shields.io/badge/Status-Active-brightgreen) OwlEye AI 是一个完全自主的多智能体安全运营中心 (SOC) 智能平台,能够检测、调查、遏制和记录安全事件——无需人工干预——除非在执行遏制操作之前设有专门的人工审批关卡。 它复刻并超越了 Tier 2 SOC 分析师团队的能力,以机器速度 7x24 小时全天候运行。 ## 🎯 它的功能 | 阶段 | 智能体 | 操作 | |-------|-------|--------| | 1 | **Monitor Agent** | 摄取 Windows 事件日志,检测 13 种攻击类别 | | 2 | **Triage Agent** | 对告警进行 0–100 分打分,上报高风险事件 | | 3 | **Investigation Agent** | MITRE ATT&CK 映射,AbuseIPDB + VirusTotal 丰富化 | | 4 | **Approval Gate** | 发送 Slack 告警,等待人工审批 | | 5 | **Containment Agent** | 封禁 IP,标记用户,记录所有操作 | | 6 | **Documentation Agent** | 生成包含 12 个部分的 PDF 报告,并自动发送邮件 | | 7 | **Flask Dashboard** | 带有批准/拒绝控件的实时 SOC 视图 | **从检测到攻击到完成遏制和记录——耗时不到 2 分钟。** ## 🚨 攻击检测覆盖范围(13 个类别) | 攻击 | MITRE 技术 | 严重程度 | |--------|----------------|----------| | 暴力破解登录 | T1110 | HIGH | | 密码猜测 | T1110.001 | HIGH | | 凭据滥用(有效账户) | T1078 | HIGH | | Kerberos 预认证失败 | T1558 | MEDIUM | | NTLM 认证 / Pass-the-Hash | T1550.002 | MEDIUM | | 创建新用户账户 | T1136 | HIGH | | 删除用户账户 | T1531 | HIGH | | 权限提升(组成员身份) | T1098 | CRITICAL | | 通过服务实现持久化 | T1543 | HIGH | | 审计日志被清除 | T1070.001 | CRITICAL | | 计划任务滥用 | T1053.005 | HIGH | | 进程注入 | T1055 | CRITICAL | | 凭据转储工具(Mimikatz、Cobalt Strike 等) | T1003 | CRITICAL | ## 🏗️ 架构
标签:AMSI绕过, Flask, Modbus, Python, 多智能体, 威胁检测, 安全运营, 扫描框架, 无后门, 模拟器, 自动化响应, 逆向工具