cr-akshayvarun/ai-threat-hunting-copilot

GitHub: cr-akshayvarun/ai-threat-hunting-copilot

一款由 LLM 驱动的威胁狩猎助手,让安全分析师通过自然语言查询 SIEM 日志并完成 IoC 提取和 MITRE ATT&CK 关联分析。

Stars: 0 | Forks: 0

# AI 驱动的威胁狩猎 Copilot 一款由 LLM 驱动的助手,能够摄取 SIEM 日志,并帮助安全分析师使用自然语言查询来进行威胁狩猎。支持 IoC 提取、MITRE ATT&CK 关联和威胁评分 — 所有这些都可以通过 CLI 或 REST API 完成。 ## 技术栈 | | | |---|---| | 后端 | Python, LangChain, FastAPI | | LLM | OpenAI (GPT-4o / GPT-3.5) 或 Ollama (本地) | | CLI | Rich 终端 UI | | 测试 | pytest, pytest-asyncio | ## 功能 - **日志摄取** — 支持 JSON、CSV、syslog 格式 - **AI 对话** — 通过 OpenAI 或 Ollama 进行自然语言狩猎查询 - **威胁评分** — 多因素严重性评估 - **IoC 提取** — IP、域名、URL、哈希值、电子邮件 - **MITRE ATT&CK** — 将事件与企业攻击技术进行关联 - **日志搜索** — 跨所有日志字段的关键词搜索 - **REST API** — 用于集成的 FastAPI endpoint - **CLI** — 具有交互模式的 Rich 终端界面 ## 快速开始 ``` # 安装 dependencies pip install -r requirements.txt # 配置 LLM (复制并编辑) cp .env.example .env # 在 .env 中设置 OPENAI_API_KEY # 运行交互模式 python -m src.main # 或运行特定命令 python -m src.main summary # Show SIEM log summary python -m src.main analyze # Run threat analysis python -m src.main search "10.0.0.5" # Search logs python -m src.main hunt "Find all suspicious activity" # AI-powered hunt # 启动 web API python -m src.main serve ``` ## API | 方法 | Endpoint | 描述 | |---|---|---| | POST | `/hunt` | 自然语言威胁狩猎查询 | | GET | `/logs` | 列出已摄取的日志 | | GET | `/logs/summary` | 日志摘要统计 | | POST | `/analyze` | 分析单个日志条目 | | POST | `/ioc/analyze` | 提取并分析 IoC | | GET | `/mitre/search` | 搜索 MITRE ATT&CK 技术 | | GET | `/health` | 服务健康检查 | ## LLM 支持 - **OpenAI** — 在 `.env` 中设置 `OPENAI_API_KEY`(使用 `gpt-4o` / `gpt-3.5-turbo`) - **Ollama**(本地) — 设置 `LLM_PROVIDER=ollama` 和 `OLLAMA_BASE_URL` 如果未配置 LLM,该工具将在数据分析模式下运行,并提供所有 SIEM 和威胁情报功能。
标签:AI风险缓解, AV绕过, DLL 劫持, FastAPI, IoC提取, Python, SIEM日志分析, 大语言模型, 安全规则引擎, 无后门, 网络测绘, 逆向工具