mdwasifraza01/ai-soc-assistant

GitHub: mdwasifraza01/ai-soc-assistant

基于大模型的蓝队 SOC 自动化分诊引擎,能够摄取 SIEM 日志、映射 MITRE ATT&CK 框架并自动生成生产级 Sigma 检测规则。

Stars: 0 | Forks: 0

# 🛡️ Agentic AI SOC Analyst — 生产级分诊自动化引擎 这是一个自主的蓝队智能层,旨在摄取原始 SIEM 遥测日志,动态关联实时威胁指标,将威胁向量直接映射到 MITRE ATT&CK 框架,并编译生产就绪的 SIEM 检测规则。 ## 🚀 核心框架节点 * **动态摄取层:** 经过调优的高速处理引擎,专用于结构化 JSON 日志遥测模式的隔离。 * **威胁情报循环:** 实时后台 pipeline,查询全球信誉注册表以进行实时风险置信度评分追踪。 * **结构化推理框架:** 强制执行确定性的 Pydantic schema 逻辑,以完全隔离 runtime 抽象并消除模型漂移。 * **自动化检测工程:** 以编程方式将实时分诊元数据转换为语法完全有效且可下载的 YAML **Sigma Rules**。 * **有状态调查终端:** 由持久化本地关系型数据库架构驱动的交互式深度取证终端。 ## 🌐 在线平台 — 无需复杂设置 | Runtime 接口 | 设置协议 | 系统依赖 | | :--- | :--- | :--- | | **Streamlit Web UI** | 全自动 | 本地 SQLite 实例 | | **取证核心引擎** | 独立节点模块 | Python 3.10+ | ## 🛠️ 深度部署与本地推理 ### 1. 克隆架构源码 在任何操作系统上运行以下命令,将代码库克隆到本地: ``` git clone [https://github.com/mdwasifraza01/ai-soc-assistant.git](https://github.com/mdwasifraza01/ai-soc-assistant.git) cd ai-soc-assistant ``` ### 2. 平台安装指南 🪟 Windows 设置 (CMD / PowerShell) ``` python -m venv venv venv\Scripts\activate pip install -r requirements.txt ``` 🐧 Linux 设置 (Ubuntu / Debian / Kali) ``` python3 -m venv venv source venv/bin/activate pip install -r requirements.txt ``` 🍏 macOS 设置 (Intel / Apple Silicon) ``` python3 -m venv venv source venv/bin/activate pip install -r requirements.txt ``` ### 3. 配置本地环境状态 在您的根工作区路径中创建一个名为 `.env` 的独立配置文件: ``` GEMINI_API_KEY=your_gemini_api_key_here ABUSEIPDB_API_KEY=your_abuseipdb_api_key_here ``` ### 4. 执行序列 在您激活的虚拟环境中运行此启动命令以引导平台界面: ``` streamlit run app.py ``` ## 📦 技术架构规范 | 分析组件 | 引擎类型 | 核心性能目标 | | :--- | :--- | :--- | | **分诊解析器** | 结构化 JSON 逻辑 | 资产 IP 提取与风险画像 | | **推理核心** | Gemini GenAI API | Pydantic 强制输出与 Playbook 生成 | | **状态持久化** | SQLite 引擎 | 多轮调查日志存储 | | **签名节点** | YAML 编译器 | 生产级 SIEM Sigma 规则工程 | ## 🔒 蓝队核心功能 * **零数据漂移:** 在所有分析节点上执行严格的参数边界,以确保在实际事件处理期间获得可预测的输出。 * **自动化防御 Playbook:** 为主动响应团队即时编译高保真的隔离指令。 * **跨 SIEM 规则可移植性:** 输出标准签名,可直接在现代企业环境中部署。 ## 🖥️ 操作工作流与使用说明 ### 步骤 1:摄取原始遥测日志 将原始 SIEM 警报上传或输入到解析器控制台。摄取层会立即标准化键值映射,例如源 IP、时间戳和可疑进程哈希。 ### 步骤 2:实时取证调查 与内置的 AI 分诊终端进行交互,动态提出深度调查查询。系统会自动将上下文历史记录维护在本地关系型数据库块中,以进行全面的 timeline 追踪。 ### 步骤 3:签名生成与导出 点击导出操作按钮,即时生成经过验证的 YAML 检测签名,专为企业级 SIEM 直接实施而定制。
标签:AI安全运营, Kubernetes, Sigma规则, 大模型Agent, 威胁情报, 开发者工具, 目标导入, 逆向工具