mdwasifraza01/ai-soc-assistant
GitHub: mdwasifraza01/ai-soc-assistant
基于大模型的蓝队 SOC 自动化分诊引擎,能够摄取 SIEM 日志、映射 MITRE ATT&CK 框架并自动生成生产级 Sigma 检测规则。
Stars: 0 | Forks: 0
# 🛡️ Agentic AI SOC Analyst — 生产级分诊自动化引擎
这是一个自主的蓝队智能层,旨在摄取原始 SIEM 遥测日志,动态关联实时威胁指标,将威胁向量直接映射到 MITRE ATT&CK 框架,并编译生产就绪的 SIEM 检测规则。
## 🚀 核心框架节点
* **动态摄取层:** 经过调优的高速处理引擎,专用于结构化 JSON 日志遥测模式的隔离。
* **威胁情报循环:** 实时后台 pipeline,查询全球信誉注册表以进行实时风险置信度评分追踪。
* **结构化推理框架:** 强制执行确定性的 Pydantic schema 逻辑,以完全隔离 runtime 抽象并消除模型漂移。
* **自动化检测工程:** 以编程方式将实时分诊元数据转换为语法完全有效且可下载的 YAML **Sigma Rules**。
* **有状态调查终端:** 由持久化本地关系型数据库架构驱动的交互式深度取证终端。
## 🌐 在线平台 — 无需复杂设置
| Runtime 接口 | 设置协议 | 系统依赖 |
| :--- | :--- | :--- |
| **Streamlit Web UI** | 全自动 | 本地 SQLite 实例 |
| **取证核心引擎** | 独立节点模块 | Python 3.10+ |
## 🛠️ 深度部署与本地推理
### 1. 克隆架构源码
在任何操作系统上运行以下命令,将代码库克隆到本地:
```
git clone [https://github.com/mdwasifraza01/ai-soc-assistant.git](https://github.com/mdwasifraza01/ai-soc-assistant.git)
cd ai-soc-assistant
```
### 2. 平台安装指南
🪟 Windows 设置 (CMD / PowerShell)
```
python -m venv venv
venv\Scripts\activate
pip install -r requirements.txt
```
🐧 Linux 设置 (Ubuntu / Debian / Kali)
```
python3 -m venv venv
source venv/bin/activate
pip install -r requirements.txt
```
🍏 macOS 设置 (Intel / Apple Silicon)
```
python3 -m venv venv
source venv/bin/activate
pip install -r requirements.txt
```
### 3. 配置本地环境状态
在您的根工作区路径中创建一个名为 `.env` 的独立配置文件:
```
GEMINI_API_KEY=your_gemini_api_key_here
ABUSEIPDB_API_KEY=your_abuseipdb_api_key_here
```
### 4. 执行序列
在您激活的虚拟环境中运行此启动命令以引导平台界面:
```
streamlit run app.py
```
## 📦 技术架构规范
| 分析组件 | 引擎类型 | 核心性能目标 |
| :--- | :--- | :--- |
| **分诊解析器** | 结构化 JSON 逻辑 | 资产 IP 提取与风险画像 |
| **推理核心** | Gemini GenAI API | Pydantic 强制输出与 Playbook 生成 |
| **状态持久化** | SQLite 引擎 | 多轮调查日志存储 |
| **签名节点** | YAML 编译器 | 生产级 SIEM Sigma 规则工程 |
## 🔒 蓝队核心功能
* **零数据漂移:** 在所有分析节点上执行严格的参数边界,以确保在实际事件处理期间获得可预测的输出。
* **自动化防御 Playbook:** 为主动响应团队即时编译高保真的隔离指令。
* **跨 SIEM 规则可移植性:** 输出标准签名,可直接在现代企业环境中部署。
## 🖥️ 操作工作流与使用说明
### 步骤 1:摄取原始遥测日志
将原始 SIEM 警报上传或输入到解析器控制台。摄取层会立即标准化键值映射,例如源 IP、时间戳和可疑进程哈希。
### 步骤 2:实时取证调查
与内置的 AI 分诊终端进行交互,动态提出深度调查查询。系统会自动将上下文历史记录维护在本地关系型数据库块中,以进行全面的 timeline 追踪。
### 步骤 3:签名生成与导出
点击导出操作按钮,即时生成经过验证的 YAML 检测签名,专为企业级 SIEM 直接实施而定制。
标签:AI安全运营, Kubernetes, Sigma规则, 大模型Agent, 威胁情报, 开发者工具, 目标导入, 逆向工具