abdallah-mft/Altreon

GitHub: abdallah-mft/Altreon

一个由 AI 驱动的轻量级安全事件分诊与 SOAR 平台,通过关联员工报告与机器告警并维护不可变审计追踪,解决中小企业安全事件上报与响应滞后的问题。

Stars: 1 | Forks: 0

# ALTREON — 快速网络分诊与 SOAR 平台

ALTREON Logo

**ALTREON** 是一个由 AI 驱动的网络安全事件分诊与 SOAR(安全编排、自动化与响应)MVP。它通过将人类报告的担忧与机器生成的警报进行关联、实现分诊自动化,并维护符合**阿尔及利亚 18-07 数据隐私法**的不可变审计追踪,从而在恐慌的员工与不堪重负的 IT 管理员之间架起了一座桥梁。 ## 目录 - [问题与解决方案](#problem--solution) - [架构](#architecture) - [技术栈](#tech-stack) - [系统设计](#system-design) - [API 端点](#api-endpoints) - [快速开始](#quick-start) - [测试](#testing) - [合规性](#compliance) - [项目结构](#project-structure) ## 问题与解决方案

How does Altreon solve this

Solution Overview

### 问题所在 中小企业面临着严重的安全缺口:员工由于恐惧和困惑而不敢报告安全事件,同时 IT 团队又被海量警报所淹没。这造成了一个**沉默问题**,导致威胁在为时已晚之前一直被忽视。 ### ALTREON 的解决方案 - **AI 引导的员工报告** —— 交互式聊天感觉就像是在对话,而不是在填表 - **自动化关联** —— 将用户报告与系统警报(EDR、firewalls、AV)进行匹配 - **智能升级** —— 针对严重威胁发送 Twilio SMS 警报 - **不可变的审计追踪** —— 完全符合 Law 18-07 ## 架构

Architecture Overview

系统遵循一个 **4 步 pipeline**: 1. **输入与接入** —— 通过 `/report` 端点接收来自员工的报告(通过 AI 聊天)和自动化工具(EDR、firewalls、AV)的报告 2. **AI 处理与关联** —— AI 引擎分析报告,检查历史数据中 24 小时内匹配的 IP,并将关联攻击自动升级为 CRITICAL(严重)级别 3. **路由与行动** —— Cybersec 团队分配行动任务(隔离机器、重置凭证)并生成最终的 admin 报告 4. **不可变审计日志记录** —— 每一个事件都记录在防篡改的 SQLite 数据库中,且不提供任何 PUT/PATCH/DELETE 端点

System Design

## 技术栈

Tech Stack

| 层级 | 技术 | |:------|:-----------| | **Backend** | Python, FastAPI | | **数据库** | SQLite + SQLAlchemy(不可变配置) | | **AI 引擎** | DeepSeek V4、GLM-4、MiniMax,或任何兼容 OpenAI 的开源模型 | | **通知** | Twilio SDK(SMS 升级) | | **测试** | Postman MCP(所有端点均已验证) | ## 系统设计

Monitoring Interface

Reporting Interface

## API 端点 ### 员工 AI 聊天 ``` POST /employee/chat ``` 交互式 AI 代理。员工与 AI 进行聊天,AI 会以问题和多选项的形式进行回复。 ### 自动化 Webhook ``` POST /webhook/auto ``` 用于第三方安全工具的直接接入。 ### 事件接入 ``` POST /report ``` 接收最终确定的报告(用户或自动)。 ### AI 处理 ``` POST /ai/process ``` 触发 AI 关联引擎 —— 搜索历史日志(相同 IP,24 小时窗口),并生成摘要。 ### 行动路由 ``` POST /route ``` Cybersec 团队分配任务并完成最终的 admin 报告。 ### 检索端点 | 方法 | 端点 | 描述 | |:-------|:---------|:------------| | GET | `/incident/{id}` | 完整的事件详情 | | GET | `/reports/employee/{name}` | 员工的所有报告 | | GET | `/reports/cybersec/pending` | 待处理的 Cybersec 路由 | | GET | `/reports/admin/all` | 总体事件列表 | ## 快速开始 ``` # Backend 设置 cd backend python -m venv venv venv\Scripts\activate # Windows pip install -r requirements.txt # 配置环境 copy .env.example .env # Windows # 使用你的 API keys 编辑 .env # 启动 server python run.py ``` API 将在 `http://localhost:8000` 上可用。 交互式文档位于 `http://localhost:8000/docs`。 ## 测试

Database Logs Table

包含的 `test_api.py` 会运行完整的端到端流程: ``` cd backend python test_api.py ``` 或者使用 **Postman** 集合按顺序测试所有 5 个端点: 1. 提交用户报告 -> 2. 提交自动报告 -> 3. AI 处理 -> 4. 路由 -> 5. 获取最终事件 ## 合规性

Law 18-07 Compliance

ALTREON 专为**阿尔及利亚个人数据保护法 Law 18-07** 设计: - **无 PUT/PATCH/DELETE 端点** —— 日志一旦写入,就无法修改或删除 - **不可变审计追踪** 存放在 `compliance_logs.db` 中 - **防篡改的取证工件** —— 每一项操作都有时间戳并记录归因(用户、AI、系统或 admin) ## 项目结构 ``` ALTREON/ ├── backend/ │ ├── app/ │ │ ├── __init__.py │ │ └── main.py # FastAPI application & all endpoints │ ├── .env.example # Environment template │ ├── README.md # Backend-specific docs │ ├── requirements.txt # Python dependencies │ ├── run.py # Server entry point │ └── test_api.py # End-to-end test script ├── Pics/ # Presentation assets │ ├── Architecture Overview.png │ ├── How does Altreon solve this.png │ ├── Legal shield.png │ ├── Logo.png │ ├── Logs table.png │ ├── Monitoring Interface.png │ ├── Reporting Interface.png │ ├── Solution.png │ ├── System Design.png │ └── Tech Stack.png ├── .gitignore └── README.md ```
标签:事件分诊, 人工智能, 安全运营, 扫描框架, 用户模式Hook绕过, 网络安全, 自动化响应, 逆向工具, 隐私保护