MAYORTHELION/Owleye-AI
GitHub: MAYORTHELION/Owleye-AI
基于七智能体架构的自主 SOC 平台,实现从威胁检测、调查、审批到遏制和报告的全流程自动化安全运营闭环。
Stars: 0 | Forks: 0
# 🦉 OwlEye AI — 自主 SOC 智能平台





OwlEye AI 是一个完全自主的多智能体安全运营中心 (SOC) 智能平台,能够检测、调查、遏制和记录安全事件——无需人工干预——除非在执行遏制操作之前设有专门的人工审批关卡。
它复刻并超越了 Tier 2 SOC 分析师团队的能力,以机器速度 7x24 小时全天候运行。
## 🎯 它的功能
| 阶段 | 智能体 | 操作 |
|-------|-------|--------|
| 1 | **Monitor Agent** | 摄取 Windows 事件日志,检测 13 种攻击类别 |
| 2 | **Triage Agent** | 对告警进行 0–100 分打分,上报高风险事件 |
| 3 | **Investigation Agent** | MITRE ATT&CK 映射,AbuseIPDB + VirusTotal 丰富化 |
| 4 | **Approval Gate** | 发送 Slack 告警,等待人工审批 |
| 5 | **Containment Agent** | 封禁 IP,标记用户,记录所有操作 |
| 6 | **Documentation Agent** | 生成包含 12 个部分的 PDF 报告,并自动发送邮件 |
| 7 | **Flask Dashboard** | 带有批准/拒绝控件的实时 SOC 视图 |
**从检测到攻击到完成遏制和记录——耗时不到 2 分钟。**
## 🚨 攻击检测覆盖范围(13 个类别)
| 攻击 | MITRE 技术 | 严重程度 |
|--------|----------------|----------|
| 暴力破解登录 | T1110 | HIGH |
| 密码猜测 | T1110.001 | HIGH |
| 凭据滥用(有效账户) | T1078 | HIGH |
| Kerberos 预认证失败 | T1558 | MEDIUM |
| NTLM 认证 / Pass-the-Hash | T1550.002 | MEDIUM |
| 创建新用户账户 | T1136 | HIGH |
| 删除用户账户 | T1531 | HIGH |
| 权限提升(组成员身份) | T1098 | CRITICAL |
| 通过服务实现持久化 | T1543 | HIGH |
| 审计日志被清除 | T1070.001 | CRITICAL |
| 计划任务滥用 | T1053.005 | HIGH |
| 进程注入 | T1055 | CRITICAL |
| 凭据转储工具(Mimikatz、Cobalt Strike 等) | T1003 | CRITICAL |
## 🏗️ 架构
标签:AMSI绕过, Flask, Modbus, Python, 多智能体, 威胁检测, 安全运营, 扫描框架, 无后门, 模拟器, 自动化响应, 逆向工具