cr-akshayvarun/ai-threat-hunting-copilot
GitHub: cr-akshayvarun/ai-threat-hunting-copilot
一款由 LLM 驱动的威胁狩猎助手,让安全分析师通过自然语言查询 SIEM 日志并完成 IoC 提取和 MITRE ATT&CK 关联分析。
Stars: 0 | Forks: 0
# AI 驱动的威胁狩猎 Copilot
一款由 LLM 驱动的助手,能够摄取 SIEM 日志,并帮助安全分析师使用自然语言查询来进行威胁狩猎。支持 IoC 提取、MITRE ATT&CK 关联和威胁评分 — 所有这些都可以通过 CLI 或 REST API 完成。
## 技术栈
| | |
|---|---|
| 后端 | Python, LangChain, FastAPI |
| LLM | OpenAI (GPT-4o / GPT-3.5) 或 Ollama (本地) |
| CLI | Rich 终端 UI |
| 测试 | pytest, pytest-asyncio |
## 功能
- **日志摄取** — 支持 JSON、CSV、syslog 格式
- **AI 对话** — 通过 OpenAI 或 Ollama 进行自然语言狩猎查询
- **威胁评分** — 多因素严重性评估
- **IoC 提取** — IP、域名、URL、哈希值、电子邮件
- **MITRE ATT&CK** — 将事件与企业攻击技术进行关联
- **日志搜索** — 跨所有日志字段的关键词搜索
- **REST API** — 用于集成的 FastAPI endpoint
- **CLI** — 具有交互模式的 Rich 终端界面
## 快速开始
```
# 安装 dependencies
pip install -r requirements.txt
# 配置 LLM (复制并编辑)
cp .env.example .env
# 在 .env 中设置 OPENAI_API_KEY
# 运行交互模式
python -m src.main
# 或运行特定命令
python -m src.main summary # Show SIEM log summary
python -m src.main analyze # Run threat analysis
python -m src.main search "10.0.0.5" # Search logs
python -m src.main hunt "Find all suspicious activity" # AI-powered hunt
# 启动 web API
python -m src.main serve
```
## API
| 方法 | Endpoint | 描述 |
|---|---|---|
| POST | `/hunt` | 自然语言威胁狩猎查询 |
| GET | `/logs` | 列出已摄取的日志 |
| GET | `/logs/summary` | 日志摘要统计 |
| POST | `/analyze` | 分析单个日志条目 |
| POST | `/ioc/analyze` | 提取并分析 IoC |
| GET | `/mitre/search` | 搜索 MITRE ATT&CK 技术 |
| GET | `/health` | 服务健康检查 |
## LLM 支持
- **OpenAI** — 在 `.env` 中设置 `OPENAI_API_KEY`(使用 `gpt-4o` / `gpt-3.5-turbo`)
- **Ollama**(本地) — 设置 `LLM_PROVIDER=ollama` 和 `OLLAMA_BASE_URL`
如果未配置 LLM,该工具将在数据分析模式下运行,并提供所有 SIEM 和威胁情报功能。
标签:AI风险缓解, AV绕过, DLL 劫持, FastAPI, IoC提取, Python, SIEM日志分析, 大语言模型, 安全规则引擎, 无后门, 网络测绘, 逆向工具