入门指南 · 文档

Agentic SOC 平台 是一款功能强大、灵活易用、开源且以智能代理为核心的自动化安全运营平台。

核心特性

• 🧠 AI 驱动的情报分析：内置 Langgraph 和 Dify 等 AI 代理模板，支持本地 LLM 模型，显著提升告警分析与自动化响应能力。
• 📊 内置 SIRP 平台：基于 Nocoly 构建的即用型安全事件响应平台（SIRP），可快速定制用户界面、数据模型、报告和工作流。
• ⚙️ 强大的自动化工作流：通过 Webhook + Redis Stream 实现高效的告警处理，原生支持 Splunk、Kibana (ELK) 等主流 SIEM 平台。
• 🛠️ 高度可扩展性：提供丰富的模块和插件库。整个框架采用 Python 编写，便于二次开发及与各类安全设备和 API 的集成。
• 🛡️ 本地化部署与数据可控：支持完全本地化部署，所有数据、模型和操作均可托管在企业自有环境中，确保数据安全与隐私。
• ⚡ 流式与批处理结合：提供实时告警分析的流式处理模块，以及由用户触发的任务驱动型自动化剧本（Playbook）。

架构概览

ASP 通过一个简化的多阶段流程来处理安全告警和事件：

1. SIEM/告警源：EDR、NDR 或其他安全工具将告警发送至 SIEM（如 Splunk、Kibana）。
2. Webhook 转发器：SIEM 将这些告警通过 Webhook 转发到 ASP 内置的 Webhook 接收器。
3. Redis Stream：接收器将告警推送到对应的 Redis Stream 中，作为持久化的消息队列。每种告警类型都有独立的 Stream。
4. 模块引擎：ASP 的 模块 从各自指定的 Stream 中消费告警，执行分析（通常借助 AI 代理）、数据丰富化，并决定处理结果。
5. SIRP 平台：模块输出的结果（现已格式化为标准化的安全记录）被发送至 SIRP 平台，在那里创建或更新案件、告警和证据。
6. 剧本加载器模块引擎：分析师可通过 SIRP 用户界面针对案件、告警或证据触发 剧本，以执行进一步的自动化操作，例如威胁情报补充或修复行动。

官方网站

https://asp.viperrtp.com

404Starlink

Agentic SOC 平台已加入 404Starlink

Agentic SOC Platform 快速上手指南

Agentic SOC Platform (ASP) 是一个强大、灵活且以智能体（Agent）为核心的开源自动化安全运营平台。它结合了 AI 驱动的分析能力与内置的安全事件响应平台（SIRP），旨在提升告警分析与自动化响应的效率。

1. 环境准备

在开始之前，请确保您的服务器满足以下系统要求和前置依赖：

系统要求

• 操作系统: Linux (推荐 Ubuntu 20.04+ 或 CentOS 7+)
• 架构: x86_64 或 ARM64
• 内存: 建议至少 8GB RAM（若运行本地大模型需更多）
• 磁盘: 至少 20GB 可用空间

前置依赖

• Docker: 版本 20.10+
• Docker Compose: 版本 2.0+
• Git: 用于克隆代码仓库
• Python: 3.9+ (仅在进行二次开发或自定义模块时需要)

国内加速建议： 如果在国内网络环境下安装 Docker 镜像较慢，建议配置 Docker 国内镜像加速器（如阿里云、腾讯云、网易云等）。 编辑 /etc/docker/daemon.json (若不存在则创建)，添加以下内容（以阿里云为例）：

{
  "registry-mirrors": ["https://<your-id>.mirror.aliyuncs.com"]
}

重启 Docker 服务：sudo systemctl restart docker

2. 安装步骤

第一步：克隆项目

git clone https://github.com/funnywolf/agentic-soc-platform.git
cd agentic-soc-platform

第二步：配置环境变量

复制示例配置文件并根据实际需求修改（特别是涉及本地 LLM 地址或密钥的部分）：

cp .env.example .env
# 使用编辑器修改 .env 文件
vim .env

第三步：启动服务

使用 Docker Compose 一键启动所有核心组件（包括 Redis, Webhook Receiver, ModuleEngine, SIRP 等）：

docker compose up -d

第四步：验证安装

检查容器运行状态：

docker compose ps

确保所有服务状态均为 Up。默认情况下，SIRP 平台界面可通过浏览器访问 http://<服务器 IP>:8080 (具体端口请参考 .env 配置)。

3. 基本使用

以下是最简单的流程示例：从 SIEM 接收告警并自动创建工单。

场景描述

假设您正在使用 Splunk 或 Kibana 作为 SIEM，当产生高危告警时，通过 Webhook 发送给 ASP，ASP 自动分析并生成安全事件。

步骤 1：配置 SIEM 发送告警

在您的 SIEM 系统中配置 Alert Action，将告警以 JSON 格式 POST 到 ASP 的 Webhook 接收地址： http://<ASP 服务器 IP>:5000/webhook/alerts

示例 Payload (Splunk Alert):

{
  "source": "splunk",
  "alert_name": "Brute Force Attack Detected",
  "severity": "high",
  "src_ip": "192.168.1.100",
  "dest_ip": "10.0.0.5",
  "timestamp": "2023-10-27T10:00:00Z"
}

步骤 2：查看自动处理结果

1. 登录 SIRP 平台界面 (http://<ASP 服务器 IP>:8080)。
2. 进入 Cases 或 Alerts 页面。
3. 您将看到一条新生成的安全事件记录，其中包含由 AI Agent 自动 enrich（增强）的上下文信息和分析结论。

步骤 3：触发自动化剧本 (Playbook)

在 SIRP 界面上选中该事件，点击 Run Playbook，选择预设的剧本（例如“威胁情报查询”或“主机隔离”），系统将自动执行后续响应动作。

---

更多详细文档、自定义模块开发指南及高级配置，请访问官方文档：https://asp.viperrtp.com/asf/Introduction/what_is_asf/