clab60917/RAG-LLM-SOC_analyst
📦 开源项目clab60917
利用 RAG 和大模型实现一级 SOC 分析师任务自动化,提升网络威胁检测与响应效率。
RAG-LLM-SOC_analyst 项目提供了一个将大语言模型集成到安全运营工作流中的框架。其核心在于利用 RAG 技术摄入组织的安全文档、剧本及实时日志数据,使大模型能够对安全告警进行上下文感知的分析。这种方法通过自动化处理通常由一级分析师负责的初步分类工作,有效解决了 SOC 常见的“告警疲劳”问题。该系统基于 Python 构建,具有高度模块化设计,允许安全工程师接入不同的 LLM 后端和向量数据库。主要功能包括自动化事件分类、安全事件的上下文丰富化,以及查询内部安全知识库以建议补救措施。通过标准化初步调查阶段,该工具确保了安全事件处理的一致性,使人类分析师能够专注于需要深度取证的高优先级威胁。