Home / Sharenewshort / 🛡️ Agentic SOC Parallel Simulation (ASPS): Nền tảng Mô phỏng SOC Tự chủ bằng AI với Đa Agent Cộng tác

🛡️ Agentic SOC Parallel Simulation (ASPS): Nền tảng Mô phỏng SOC Tự chủ bằng AI với Đa Agent Cộng tác

By
Không có bình luận
7 Tháng 4, 2026 8:55 chiều

Định hình lại tương lai của Security Operations: Mô phỏng SOC song song toàn ngăn xếp, cộng tác đa Agent và phòng thủ tự chủ dựa trên dữ liệu.

Agentic SOC Parallel Simulation (ASPS) là một nền tảng mô phỏng SOC tiên tiến được phát triển bởi SafelineMan trên GitHub. Dự án này khám phá tiềm năng tối đa của Large Action Models (LAM) trong lĩnh vực an ninh mạng bằng cách tích hợp DeepSeek Reasoning Model, Cộng tác Đa Agent (Multi-Agent) và tiêu chuẩn MCP (Model Context Protocol). Kết quả là một đội ngũ SOC ảo toàn diện, end-to-end, hoàn toàn tự động.

Trong dự án này, AI không chỉ đơn thuần là một công cụ thực thi script mà đóng vai trò là một nhà phân tích kỹ thuật số với khả năng Chain of Thought ở cấp độ chuyên gia, từ Purple Team tạo lưu lượng tấn công, đến Blue Team phát triển quy tắc phát hiện, và cuối cùng là Đội Vận hành xử lý phân loại, điều tra số pháp y và phản ứng sự cố.

Agentic SOC Simulation Logo

📸 Giao diện Dashboard

Dashboard V2.0 (Phiên bản mới nhất)

Agentic SOC Dashboard V2.0

Dashboard V1.0 (Phiên bản cũ)

Agentic SOC Dashboard V1.0

✨ Các Tính năng Chính (Theo nguồn chính thức)

1. ♾️ Mô phỏng SOC Song song Toàn ngăn xếp (Full-Stack SOC Parallel Simulation)

Đây không chỉ là mô phỏng một nhà phân tích AI đơn lẻ mà là toàn bộ hệ thống vận hành SOC, bao gồm:

  • Phủ kín toàn bộ vòng đời: Từ mô phỏng tấn công Red Team → Purple Team tạo dữ liệu → Blue Team phát triển quy tắc phát hiện → Engine phát hiện → Điều tra phân loại (Triage) → Phản ứng sự cố → Lưu trữ báo cáo.
  • Ánh xạ kiến trúc thực tế: Nhân bản đầy đủ các thành phần cốt lõi của một SOC hiện đại, bao gồm Security Data Warehouse (Kho dữ liệu bảo mật), Detection Engine (Engine phát hiện), SOAR orchestration (Điều phối tự động) và Visual War Room (Phòng chiến tranh trực quan).

2. 🤖 Cộng tác Đa Agent (Multi-Agent Collaboration Swarm)

Hệ thống mô phỏng cấu trúc tổ chức SOC thực tế với 7 vai trò chuyên biệt, hoạt động như một đội thông qua chia sẻ ngữ cảnh chung (shared context), thể hiện trí tuệ bầy đàn (swarm intelligence) vượt trội:

Agent Vai trò & Chức năng
😈 Purple Team Tạo lưu lượng tấn công có độ chân thực cao và nhiễu nền dựa trên kịch bản (tiêu chuẩn OCSF).
🛠️ Detection Eng Phân tích dữ liệu telemetry để tự động phát triển và xác minh quy tắc phát hiện (detection rules).
⚙️ Analysis Engine Chạy logic phát hiện, quét kho dữ liệu và kích hoạt cảnh báo (alerts).
🔍 Triage Lọc false positives (cảnh báo sai) và đánh giá độ tin cậy của cảnh báo.
🕵️‍♂️ Forensics Gọi các công cụ để điều tra sâu và xây dựng chuỗi tấn công (attack chains).
🛡️ Commander Đề xuất chiến lược phản ứng, thực thi cấm (ban) hoặc yêu cầu phê duyệt.
📝 Reporter Tóm tắt kết quả điều tra và tạo báo cáo bảo mật có cấu trúc.

3. 📊 Detection Engineering Dựa trên Dữ liệu

  • Security Data Warehouse: Kho dữ liệu nội dựng nhẹ hỗ trợ lưu trữ và truy xuất dữ liệu theo tiêu chuẩn OCSF (Open Cybersecurity Schema Framework).
  • Telemetry Observation: Cung cấp bảng pivot trực quan cho phép phân tích viên quan sát trực tiếp raw telemetry logs để xác minh chất lượng dữ liệu và chữ ký tấn công.
  • Detection Engineering Workbench: Không gian làm việc chuyên dụng hiển thị quá trình biến đổi từ “Dữ liệu” → “Quy tắc”, đạt được tính minh bạch và khả năng giải thích của logic phát hiện.

4. 🧠 Suy luận Sâu & Trí tuệ Nhận thức (Deep Reasoning & Cognitive Intelligence)

  • Được cung cấp bởi engine suy luận mạnh DeepSeek, sở hữu khả năng phân tích logic và ra quyết định ở mức con người.
  • Chain of Thought: Có khả năng xử lý thông tin mơ hồ, tự lập kế hoạch đường đi điều tra, xây dựng chuỗi bằng chứng hoàn chỉnh và tự động hóa end-to-end từ “cảnh báo” → “kết luận”.

5. 🕸️ Biểu đồ Mối đe dọa Động (Dynamic Threat Graph)

  • Trực quan hóa chuỗi tấn công theo thời gian thực dựa trên streamlit-agraph.
  • Universal Graph Construction Engine: Cơ chế xây dựng biểu đồ tích hợp sẵn các nguyên tắc phân bổ (attribution), tương tác (interaction) và nhân quả (causality). Dù là tấn công APT hay ransomware, hệ thống tự động xây dựng các câu chuyện tấn công liên kết chặt chẽ.
  • Không có Node cô lập (No Isolated Nodes): Thực thi tương quan thực thể, tổ chức lại các manh mối phân mảnh (IPs, domains, files, lỗ hổng) thành các câu chuyện tấn công trực quan.

6. 🛡️ Cộng sinh Bất đồng bộ giữa Người và AI (Async Human-AI Symbiosis)

  • Cơ chế HITL (Human-in-the-Loop) đổi mới đảm bảo rằng trong khi AI hoạt động tự chủ, các quyết định quan trọng (như cấm toàn mạng) vẫn nằm dưới sự giám sát của chuyên gia con người.
  • Tương tác không chặn (Non-Blocking Interaction): Sử dụng cơ chế PENDING_APPROVAL, cho phép AI tiếp tục các tác vụ khác sau khi gửi yêu cầu vận hành rủi ro cao, chờ xác nhận bất đồng bộ từ chuyên gia con người trên dashboard.

🏗️ Kiến trúc Hệ thống

Dự án áp dụng thiết kế kiến trúc phân lớp, mô phỏng môi trường vận hành bảo mật doanh nghiệp thực tế:

Ba tầng kiến trúc chính

Tầng Công nghệ File chính Mô tả
Dashboard Streamlit app/main.py Trung tâm chỉ huy trực quan cho phân tích viên bảo mật. Bao gồm: Detection Engineering Workbench, Security Data Warehouse View, War Room (hiển thị quá trình điều tra và knowledge graph theo thời gian thực).
MCP Server FastAPI mcp_server/main.py Đóng vai trò “tay và chân” của Agent. Cung cấp API tiêu chuẩn cho Agent gọi. Chứa logic cho các công cụ bảo mật thực/giả lập (VirusTotal API, Knowledge Graph Engine, Firewall Simulation, Payload Analyzer).
AI Agent Python agent/ core.py – “Bộ não” định nghĩa BaseAgent và 7 vai trò chuyên biệt. engine.py – Analysis Engine matching OCSF telemetry với detection rules. ocsf.py – Định nghĩa mô hình dữ liệu OCSF.

Sơ đồ kiến trúc hệ thống

[Security Analyst] -->|Tương tác/Phê duyệt| [Streamlit Dashboard]
[Dashboard] -->|HTTP Request| [MCP Server (FastAPI)]
[Dashboard] -->|Status Monitor| [AI Agent Core]

=== AI Agent Team (Bộ não) ===
[Agent Core] --> [Purple Team Agent]
[Agent Core] --> [Detection Eng Agent]
[Agent Core] --> [Analysis Engine Agent]
[Agent Core] --> [Triage Agent]
[Agent Core] --> [Forensics Agent]
[Agent Core] --> [Commander Agent]
[Agent Core] --> [Reporter Agent]

=== Data Layer (Bộ nhớ) ===
[Purple Team] -->|Write| [(Security Data Warehouse OCSF)]
[Detection Eng] -->|Read| [(Data Warehouse)]
[Analysis Engine] -->|Scan| [(Data Warehouse)]

=== MCP Tools (Tay và Mắt) ===
[MCP Server] --> [VirusTotal API]
[MCP Server] --> [Knowledge Graph Engine]
[MCP Server] --> [Firewall Simulation]
[MCP Server] --> [Payload Analyzer]

[Forensics Agent] -->|Gọi Tools| [MCP Server]
[Commander Agent] -->|Thực thi Response| [MCP Server]

⚙️ Quy trình Thực thi (Ví dụ Mô phỏng Song song)

Dưới đây là mô tả chi tiết cách hệ thống xử lý một bài tập mô phỏng song song hoàn chỉnh:

  1. Định nghĩa Kịch bản: Người dùng nhập kịch bản tấn công (ví dụ: Lazarus APT attack).
  2. Tạo Dữ liệu (Bước 1): Purple Team tạo dữ liệu telemetry OCSF bao gồm cả nhiễu nền bình thường và hành vi độc hại, lưu vào Security Data Warehouse.
  3. Phát triển Quy tắc (Bước 2): Detection Engineer phân tích dữ liệu telemetry trong kho để tự động viết quy tắc phát hiện.
  4. Quét Engine (Bước 3): Analysis Engine chạy quy tắc, quét kho dữ liệu và kích hoạt cảnh báo.
  5. Phân loại (Triage): Triage Agent phân tích độ tin cậy của cảnh báo, đánh giá rủi ro cao và chuyển tiếp cho Forensics.
  6. Điều tra Số pháp y (Forensics):
  • Gọi check_ip_reputation để xác nhận IP nguồn độc hại.
  • Gọi analyze_payload để xác định tệp đính kèm là downloader độc hại.
  • Gọi graph_add_relation để xây dựng biểu đồ: IP(45.33...) –[Delivers]–> Host(Workstation).
  1. Phân tích Tương quan: Khi nhận được cảnh báo “C2 Connection” tiếp theo, Forensic Agent tự động tương quan với node Host(Workstation) hiện có, tạo thành chuỗi tấn công.
  2. Phản ứng (Commander): Commander xác định mối đe dọa đã được xác nhận và cố gắng cấm IP C2.
  3. Phê duyệt Con người (HITL): Kích hoạt PENDING_APPROVAL, phân tích viên nhấp “Phê duyệt” trên giao diện.
  4. Báo cáo (Reporter): Reporter Agent tự động tạo báo cáo Markdown chứa chuỗi bằng chứng hoàn chỉnh và kết quả xử lý.

🚀 Hướng dẫn Khởi động Nhanh

Bước 1: Chuẩn bị Môi trường

Clone dự án và cài đặt dependencies:

pip install -r requirements.txt

Bước 2: Khởi động Dịch vụ

Cần mở hai terminal riêng biệt:

Terminal 1 – Khởi động MCP Tool Server:

python3 -m uvicorn mcp_server.main:app --reload --port 8000

Terminal 2 – Khởi động Web Dashboard:

python3 -m streamlit run app/main.py

Bước 3: Cấu hình & Trải nghiệm

  1. Truy cập giao diện: Mở trình duyệt tại http://localhost:8501.
  2. Cấu hình API Key: Nhập DeepSeek API KeyVirusTotal API Key (tùy chọn) trong sidebar “System Configuration”. Cấu hình chỉ có hiệu lực cho phiên hiện tại, không cần sửa file local.
  3. Mô phỏng Song song:
  • Trong sidebar “♾️ Parallel Simulation”, nhập hoặc sử dụng kịch bản tấn công mặc định.
  • Nhấp “🚀 Start Full Simulation”.
  • Hệ thống sẽ tự động thực thi tạo dữ liệu, phát triển quy tắc, phát hiện engine, và tiến tới quy trình phản ứng SOC.
  1. Quan sát & Tương tác:
  • Xem khu vực “SOC Team” để thấy cách các kỹ sư AI với vai trò khác nhau làm việc nối tiếp nhau.
  • Xem dữ liệu telemetry OCSF tại khu vực “Security Data Warehouse”.
  • Xem chuỗi tấn công được xây dựng theo thời gian thực tại “Knowledge Graph”.
  • Khi gặp vận hành rủi ro cao, phê duyệt hoặc từ chối tại “Human Decision”.

📂 Cấu trúc Dự án

.
├── app/                # Giao diện Frontend (Streamlit)
│   └── main.py         # Chương trình chính: Bố cục UI, Quản lý State, Trực quan hóa
├── mcp_server/         # Dịch vụ Công cụ (FastAPI)
│   └── main.py         # Cung cấp API cho IP Reputation, Firewall, Quản lý Graph, v.v.
├── agent/              # Logic cốt lõi Agent
│   ├── core.py         # Định nghĩa BaseAgent và các vai trò Agent chuyên biệt
│   ├── engine.py       # Analysis Engine: Phụ trách matching quy tắc và kích hoạt cảnh báo
│   └── ocsf.py         # Tiêu chuẩn Dữ liệu: Định nghĩa mô hình dữ liệu OCSF Telemetry
├── requirements.txt    # Dependencies dự án
└── README.md           # Tài liệu dự án

📊 Thông tin Dự án

Thuộc tính Chi tiết
Ngôn ngữ lập trình Python 100%
Công nghệ Frontend Streamlit
Công nghệ Backend FastAPI (MCP Server)
Mô hình AI DeepSeek Reasoning Model
Protocol MCP (Model Context Protocol)
Tiêu chuẩn Dữ liệu OCSF (Open Cybersecurity Schema Framework)
GitHub Stars 151 ⭐
Forks 24
.commits 14

🎯 Tổng kết

Agentic SOC Parallel Simulation là một dự án mã nguồn mở rất ấn tượng, thể hiện tầm nhìn tương lai của Security Operations Center khi kết hợp sức mạnh của AI reasoning với mô hình đa agent cộng tác. Với 7 agent chuyên biệt hoạt động như một đội, hệ thống mô phỏng thành công toàn bộ vòng đời vận hành bảo mật — từ tấn công, phát hiện, điều tra đến phản ứng — tất cả được tự động hóa thông qua AI nhưng vẫn giữ con người trong vòng lặp quyết định (HITL) cho các hành động rủi ro cao.

Source link: SafelineMan/Agentic-SOC-Simulation

bugineverything

Related Posts

AdaptixC2 v1.2 — Framework Hậu Khai Thác (Post-Exploitation) ...
5 Tháng 5, 2026
Mobile Security Framework (MobSF) – Framework Đánh Giá Bảo ...
4 Tháng 5, 2026
Open ASM (OASM) – Nền tảng mã nguồn mở quản lý bề ...
4 Tháng 5, 2026

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *