Pavithraa2005/SentinelAI_Guardian

GitHub: Pavithraa2005/SentinelAI_Guardian

基于多 Agent 架构和 Gemini LLM 的企业级 AI 安全运营中心,通过自动化威胁检测、漏洞修复和合规审计解决安全告警疲劳与云基础设施复杂性难题。

Stars: 0 | Forks: 0

# SentinelAI Guardian - 企业级多 Agent AI SOC

Platform Security AI

SentinelAI Guardian 是一个企业级的自主多 Agent 安全运营中心 (SOC) 编排器,旨在实时预测、检测和修复网络威胁。通过利用由 Google Gemini 1.5 Flash 模型驱动的专业化 AI Agent 协作集群,该平台实现了复杂的告警汇总、事件遏制、漏洞修补以及持续的法规合规性映射等自动化流程。 ## 1. 执行摘要与架构 现代安全运营中心面临着告警疲劳、复杂的云基础设施以及影子 API 暴露等挑战。SentinelAI Guardian 通过用动态的专业 AI 安全 Agent 集群替代静态的、基于规则的告警系统来解决这些问题。这些 Agent 能够分析实时系统日志、执行定向查询,并生成丰富的、具备上下文感知能力的威胁摘要。 ``` ┌──────────────────────────────┐ │ Next.js 15 React Portal │ └──────────────┬───────────────┘ │ HTTPS / JSON ▼ ┌──────────────────────────────┐ │ FastAPI Backend API │ └──────┬────────────────┬──────┘ │ │ ▼ ▼ ┌─────────────┴──────┐ ┌──────┴─────────────┐ │ SQLite Database │ │ Gemini 1.5 API │ │ (SQLAlchemy ORM) │ │ (Agent Reasoning) │ └────────────────────┘ └────────────────────┘ ``` 该系统将各项职责分离到三个主要层级中: * **智能层:** 由 Google Gemini 1.5 Flash 驱动,提供深度的上下文逻辑,用于分析异常、映射合规法规以及解答分析师的查询。 * **编排层:** 基于 FastAPI 的后端,提供 RESTful API,管理任务工作进程,模拟威胁行为,并通过 SQLAlchemy 跟踪数据库记录。 * **展示层:** 交互式的 Next.js 仪表板,用于可视化网络指标、活动告警、合规性差距分析以及在线聊天协助。 ## 2. 多 Agent 集群深入解析 该平台没有依赖单一的单体架构,而是利用了五个独立且专业的安全 Agent。每个 Agent 作用于不同的日志和遥测数据: ### 威胁狩猎 Agent * **目标:** 识别数据库和应用层内部未经授权的访问模式和横向移动。 * **遥测输入:** 查询历史记录、数据库事务、数据库访问计数以及时间序列查询量。 * **可执行输出:** 突出显示查询频率或执行时间上的异常,暴露潜在的数据提取尝试。 ### 欺骗与蜜罐 Agent * **目标:** 通过诱饵资产捕获并分析早期阶段的外部威胁。 * **遥测输入:** Canary token 日志、虚假凭证访问日志以及与受限沙箱子网的连接。 * **可执行输出:** 追踪攻击者的源 IP、地理位置以及尝试执行的系统查询。 ### API 安全 Agent * **目标:** 发现未注册的(影子)API 并拦截 Web 攻击。 * **遥测输入:** HTTP 请求路径、查询参数、授权标头以及输入 payload。 * **可执行输出:** 识别表明存在 SQL 注入、跨站脚本攻击 (XSS) 或凭证撞库的模式。 ### 云态势 Agent * **目标:** 执行云安全态势管理 (CSPM) 指南。 * **遥测输入:** IAM 策略、公开的存储桶配置以及云网络安全组 (AWS, GCP, Azure)。 * **可执行输出:** 标记配置错误的策略、不安全的默认设置或过于宽松的开发者配置。 ### 暗网监控 Agent * **目标:** 发现外部品牌暴露和数据泄露。 * **遥测输入:** 代码共享平台、公共粘贴板和暗网索引。 * **可执行输出:** 标记泄露的凭证、配置密钥或提及内部域的暴露代码目录。 ## 3. 核心系统模块 ### AI 威胁分析与解释 当遥测数据触发告警时,原始日志将被格式化并连同精确的系统指令一起传递给 Gemini 引擎。LLM 处理输入并返回结构化的 markdown 分析细节: 1. **攻击叙述:** 易于理解的受损系统演练,包括执行向量以及攻击者如何绕过初始防御。 2. **业务风险评估:** 基于潜在的财务损失、服务停机时间或监管违规行为进行风险分类。 3. **修复步骤:** 遏制脚本 (Bash 和 PowerShell) ,以快速终止恶意进程或调整防火墙规则。 ### 漏洞管理生命周期 门户列出了从持续的基础设施扫描中提取的活动系统漏洞: * **严重性映射:** 跟踪 CVE 标识和 CVSS 分数,以确定修补工作流的优先级。 * **状态跟踪:** 将项目分类为活动、进行中或已修补。 * **一键修补:** 模拟虚拟补丁以修复易受攻击的配置或软件包,并更新中央数据库中的系统状态。 ### 持续合规审计 合规模块针对行业法规 (ISO 27001, SOC 2, NIST, HIPAA) 进行定期审计: * **态势与控制:** 根据定义的合规性检查清单验证配置。 * **修复映射:** 详细说明差距、所需证据以及解决合规性差距的相应步骤。 * **报告生成:** 生成即时审计就绪评分并导出结构化的合规状态报告。 ## 4. API 参考指南 ### 身份验证 * `POST /api/auth/register` - 注册带有凭证的新分析师。 * `POST /api/auth/login` - 验证凭证并返回 JWT 访问令牌。 * `GET /api/auth/me` - 验证令牌完整性并返回活动的用户会话。 ### 安全告警与模拟 * `GET /api/alerts` - 返回活动威胁事件列表,可按状态和类别进行过滤。 * `GET /api/alerts/{id}` - 获取特定告警的详细信息,如果尚未解析,则触发 Gemini 解释威胁。 * `POST /api/alerts/{id}/action` - 执行缓解剧本(操作包括隔离、隔离、修补、忽略、解决)。 * `POST /api/alerts/simulate` - 模拟随机威胁(网络数据泄露、蜜罐访问、API SQL 注入、公共粘贴板凭证泄露)。 ### 漏洞 * `GET /api/vulnerabilities` - 列出按 CVSS 严重程度排序的系统漏洞。 * `POST /api/vulnerabilities/{id}/patch` - 应用虚拟补丁,将漏洞状态更新为已解决。 ### 合规性 * `GET /api/compliance` - 列出所有合规性控制和审计检查清单项目。 * `POST /api/compliance/report` - 计算合规性统计数据,突出显示特定的差距和补救细节。 ### AI 助手与自定义 Agent 模块 * `POST /api/assistant/chat` - 向会话助手提交 prompt 以及历史消息。 * `POST /api/agents/threat-hunt` - 触发自定义 AI Agent 执行,分析特定的威胁假设。 * `GET /api/agents/cloud-posture` - 提取实时的云环境态势审计报告。 * `GET /api/agents/api-security` - 返回影子 API 暴露和 payload 分析日志。 * `GET /api/agents/dark-web` - 搜索粘贴板并返回最近的企业品牌提及。 * `GET /api/agents/deception` - 详细说明 honeytoken 交互和当前正受到攻击的诱饵。 ## 5. 仓库结构 ``` ├── backend/ # FastAPI Server & Database Engine │ ├── main.py # API controller and endpoint routes │ ├── database.py # Schema definitions and database initialization │ ├── auth.py # Cryptographic utilities and JWT authentication │ └── agents_engine.py # AI agent orchestration and LLM integrations │ ├── frontend/ # Next.js Application │ ├── src/app/ # Component layouts and page views │ └── public/ # Core visual assets and styling definitions ``` ## 6. 设置与安装 ### 前置条件 * Python 3.10 或更高版本 * Node.js 18 或更高版本 * Google Gemini API Key (在 Google AI Studio 获取 API Key) ### 1. 后端服务配置 1. 导航至 backend 目录: cd backend 2. 初始化并激活 Python 虚拟环境: python -m venv venv # Windows: .\venv\Scripts\activate # Linux / macOS: source venv/bin/activate 3. 安装依赖项: pip install -r requirements.txt 4. 运行 API 服务器: python main.py *API 网关将在本地 http://127.0.0.1:8000 启动。* ### 2. 前端门户配置 1. 导航至 frontend 目录: cd ../frontend 2. 安装依赖项: npm install 3. 启动开发服务器: npm run dev *Web 门户将可通过 http://localhost:3000 访问。* ## 7. 配置与密钥管理 要启用完整的 AI 分析和 Agent 决策: 1. 登录 SentinelAI Guardian 门户。 2. 在仪表板中导航至设置。 3. 输入您的 Gemini API Key 并点击保存。 *注意:该平台具有高保真度的离线回退脚本。如果未激活任何 API 密钥,则通过预定义的模板配置,Agent 响应和告警遏制剧本仍将保持完全正常运行。* ## 8. 许可证 本项目基于 MIT 许可证发布。有关详细信息,请查阅 LICENSE。
标签:AI安全运营, AMSI绕过, AV绕过, CISA项目, FastAPI, Gemini, 云安全态势, 多智能体, 威胁检测, 自动化响应, 自动化攻击, 逆向工具