作为一个在安全行业摸爬滚打过几年的从业者,我见过太多 SOC 团队被海量警报淹没,人手不足,误报率高得惊人。前段时间在 GitHub 上逛到的 AiSOC,算是让我眼前一亮——它尝试用 AI 把这些痛点串起来,而且完全开源。
不只是又一个告警聚合器
很多开源 SOC 工具仅仅是日志聚合 + 规则匹配,AiSOC 的不同在于它引入了多层 AI 能力。首先,警报融合模块会分析来自不同传感器的告警,自动去重、关联,把几十条低危告警合并成一条可操作的事件。其次,内置的紫队演习引擎能模拟攻击者和防御者的行为,生成训练场景,帮助团队在真实压力到来前补齐短板。
最让我觉得实用的是代理辅助分类功能——一个轻量级 AI Agent 会对接入的每条告警做初步分析,提取 IOC,并自动查询威胁情报,给出置信度评分。分析师收到的是已经“消化”过的案件,而不是原始日志 dump。
用 MITRE ATT&CK 画作战地图
AiSOC 另一个亮点是直接嵌入 MITRE ATT&CK 框架。每个告警都会被映射到对应的技战术阶段,调查界面会生成可视化攻击路径。对于做红蓝对抗或者写安全报告的团队来说,这一步省掉了大量手动标记的时间。
- 警报融合:跨源去重,减少 60% 以上的误报
- 紫队引擎:自动化攻防演练配置
- Agent 辅助分类:初步调查与情报匹配
- ATT&CK 映射:一键关联技战术编号
- 自托管:数据不出站,适合合规严苛的场景
部署与上手难度
项目用 Python 开发,依赖不多,官方提供了 docker-compose 文件。我试了一台 4 核 8G 的云服务器,跑基本功能压力不大。不过要对接真实数据源(如 Splunk、ELK 或各种 SIEM),你还需要写一点点胶水代码。这种灵活度对安全工程师是好事,但纯运维人员可能觉得门槛略高。
谁应该关注 AiSOC
我觉得它特别适合中大型企业的安全团队,以及做托管安全服务(MSSP)的公司——你可以把它作为基础设施的一部分,给客户提供更智能的告警分析。对于独立安全研究员或红队成员,它同样能帮你自动化取证和复盘流程。
目前 GitHub 上已有 1495 颗星,社区还在快速迭代中。作者在 README 里放了一张很实用的架构图,建议先看完再部署。
如果你正在选型开源 SOC 方案,AiSOC 绝对值得在测试环境里跑一圈——它已经把 AI 落到了安全运营的具体环节,而不是停留在概念层面。










评论
暂无评论
成为第一个评论的人