Home / Sharenewshort / Agentic SOC Platform: Nền tảng Tự động hóa Vận hành Bảo mật Tập trung vào Agent với AI

Agentic SOC Platform: Nền tảng Tự động hóa Vận hành Bảo mật Tập trung vào Agent với AI

By
Không có bình luận
7 Tháng 4, 2026 8:44 chiều

Một nền tảng mã nguồn mở mạnh mẽ, linh hoạt, xoay quanh các Agent thông minh để tự động hóa toàn bộ quy trình vận hành bảo mật (SOC) — từ thu nhận cảnh báo, phân tích bằng AI, đến phản ứng sự cố tự động.

Giới thiệu chung

Agentic SOC Platform (ASP) là một dự án mã nguồn mở được phát triển bởi FunnyWolf, nhằm xây dựng một nền tảng vận hành bảo mật tự động hóa,取焦点 vào các AI Agent. Dự án hiện đã đạt 717+ stars, 109 forks trên GitHub và là thành viên của cộng đồng 404Starlink (Knownsec).

Toàn bộ framework được viết bằng Python (100%), sử dụng giấy phép MIT License, rất thân thiện cho việc phát triển thứ cấp và tùy chỉnh.

Agentic SOC Platform Cover

Các tính năng cốt lõi (Core Features)

Dưới đây là 6 tính năng chính được mô tả trực tiếp từ repository:

1. 🧠 AI-driven Intelligence (Trí tuệ nhân tạo điều khiển)

Nền tảng sử dụng các template AI Agent tích hợp sẵn như LanggraphDify, hỗ trợ cả LLM cục bộ (local LLMs). Điều này giúp:

  • Phân tích cảnh báo bảo mật tự động bằng AI
  • Tăng cường khả năng phản ứng tự động
  • Không phụ thuộc vào dịch vụ đám mây bên ngoài — có thể chạy hoàn toàn nội bộ

2. 📊 Built-in SIRP Platform (Nền tảng Phản ứng Sự cố Bảo mật tích hợp)

ASP đi kèm một nền tảng SIRP (Security Incident Response Platform) sẵn sàng sử dụng, được xây dựng trên Nocoly. Người dùng có thể:

  • Tùy chỉnh nhanh chóng giao diện người dùng
  • Tùy chỉnh mô hình dữ liệu
  • Tạo báo cáo tùy ý
  • Xây dựng quy trình làm việc (workflows) theo nhu cầu

3. ⚙️ Powerful Automation Workflow (Quy trình tự động hóa mạnh mẽ)

Hệ thống xử lý cảnh báo hiệu quả thông qua kiến trúc Webhook + Redis Stream, hỗ trợ native các nền tảng SIEM phổ biến:

  • Splunk
  • Kibana (ELK)

Quy trình hoạt động theo mô hình message queue bền vững với Redis Stream — mỗi loại cảnh báo có riêng một stream.

4. 🛠️ Highly Extensible (Khả năng mở rộng cao)

Nền tảng cung cấp:

  • Thư viện modules phong phú (thư mục MODULES/)
  • Thư viện plugins (thư mục PLUGINS/)
  • Toàn bộ code bằng Python, dễ dàng:
  • Phát triển thứ cấp (secondary development)
  • Tích hợp với nhiều thiết bị bảo mật và API khác nhau

5. 🛡️ Local Deployment & Data Control (Triển khai nội bộ & Kiểm soát dữ liệu)

  • Hỗ trợ triển khai hoàn toàn nội bộ (local deployment)
  • Toàn bộ dữ liệu, mô hình, và thao tác có thể được lưu trữ trong môi trường riêng của doanh nghiệp
  • Đảm bảo bảo mật và quyền riêng tư dữ liệu cho doanh nghiệp

6. ⚡ Streaming and Batch Processing (Xử lý luồng và xử lý theo lô)

Nền tảng cung cấp hai chế độ xử lý:

| Chế độ | Thành phần | Mô tả |
|——–|———–|——–|
| Streaming (Luồng) | Modules | Phân tích cảnh báo theo thời gian thực |
| Event-driven (Sự kiện) | Playbooks | Tự động hóa nhiệm vụ do người dùng kích hoạt (ví dụ: làm giàu thông tin tình báo mối đe dọa, khắc phục sự cố) |

Tổng quan Kiến trúc (Architecture Overview)

Kiến trúc của ASP xử lý cảnh báo và sự kiện bảo mật thông qua quy trình nhiều giai đoạn được đơn giản hóa. Dưới đây là mô tả chi tiết từng bước:

Bước 1: SIEM / Nguồn cảnh báo

  • EDR (Endpoint Detection and Response), NDR (Network Detection and Response) hoặc các công cụ bảo mật khác gửi cảnh báo đến hệ thống SIEM
  • Các SIEM được hỗ trợ bao gồm SplunkKibana (ELK)

Bước 2: Webhook Forwarder

  • SIEM chuyển tiếp các cảnh báo này qua Webhook đến bộ nhận Webhook tích hợp sẵn của ASP
  • Đây là cơ chế giao tiếp tiêu chuẩn, đơn giản và hiệu quả

Bước 3: Redis Stream

  • Bộ nhận Webhook đẩy cảnh báo vào Redis Stream tương ứng
  • Redis Stream đóng vai trò là hàng đợi message bền vững (persistent message queue)
  • Mỗi loại cảnh báo có stream riêng biệt, đảm bảo xử lý độc lập và không tranh chấp

Bước 4: Module ModuleEngine

  • Các Module của ASP tiêu thụ cảnh báo từ stream được chỉ định
  • Thực hiện phân tích (thường sử dụng AI Agents)
  • Làm phong phú dữ liệu (enrich data)
  • Xác định kết quả phân tích

Bước 5: SIRP Platform

  • Đầu ra từ các module (được định dạng thành bản ghi bảo mật chuẩn hóa) được gửi đến nền tảng SIRP
  • Tại đây, các case (vụ việc), alert (cảnh báo) và artifact (nghệ nhân/sản phẩm điều tra) được tạo hoặc cập nhật

Bước 6: PlaybookLoader ModuleEngine

  • Các nhà phân tích có thể kích hoạt Playbook từ giao diện SIRP
  • Playbook hoạt động trên case, alert, hoặc artifact
  • Thực hiện các hành động tự động hóa tiếp theo như:
  • Làm giàu thông tin tình báo mối đe dọa (threat intelligence enrichment)
  • Khắc phục sự cố (remediation)

Architecture Diagram 1

Architecture Diagram 2

Architecture Diagram 3

Architecture Diagram 4

Architecture Diagram 5

Cấu trúc thư mục dự án

Dự án được tổ chức rõ ràng với các thư mục sau:

Thư mục / File Mô tả
AGENTS/ Chứa các template và cấu hình AI Agent (Langgraph, Dify, v.v.)
ASP/ Core application — chứa logic chính của nền tảng Agentic SOC Platform
Core/ Thư viện core — chứa các thành phần nền tảng cốt lõi (ModuleEngine, Webhook receiver, Redis handler)
DATA/ Dữ liệu cấu hình và mẫu
Docker/ File Docker và tài nguyên liên quan (bao gồm hình ảnh tài liệu trong Docker/IMG/)
Lib/ Thư viện chia sẻ và tiện ích
MODULES/ Các module xử lý cảnh báo — mỗi module tiêu thụ từ Redis Stream và phân tích bằng Agent
PLAYBOOKS/ Các playbook tự động hóa — được kích hoạt bởi người dùng từ SIRP để thực hiện hành động
PLUGINS/ Các plugin mở rộng — tích hợp với thiết bị bảo mật và API bên ngoài
.claude-plugin/ Cấu hình tích hợp Claude AI
.gemini/ Cấu hình tích hợp Gemini AI
.github/ Cấu hình GitHub (CI/CD, templates, v.v.)
manage.py Script quản lý chính
pyproject.toml Cấu hình project Python (dependencies, metadata)
uv.lock Lock file cho trình quản lý package uv
ARCHITECTURE.md Tài liệu kiến trúc chi tiết
CLAUDE.md Hướng dẫn tích hợp Claude
TODO.md Danh sách công việc dự kiến

Thông tin Releases

Dự án hiện có 3 releases, với bản mới nhất:

Phiên bản Mô tả Ngày phát hành
v0.2.0 (Latest) OCSF và BaseModel 28/01/2026

Chủ đề (Topics) liên quan

Dự án được gắn thẻ với các topics:

  • cybersecurity — Bảo mật mạng
  • siem — Quản lý thông tin và sự kiện bảo mật
  • blueteam — Đội phòng thủ bảo mật
  • soar — Tự động hóa và phản ứng bảo mật
  • dify — Nền tảng LLM application
  • llm — Large Language Model
  • langchain — Framework ứng dụng LLM
  • langgraph — Framework xây dựng Agent dựa trên đồ thị
  • agentic-soc — SOC tập trung vào Agent

Tài liệu và Liên kết

404Starlink Logo

Agentic SOC Platform đã gia nhập 404Starlink — một liên kết các công cụ bảo mật mã nguồn mở được duy trì bởi Knownsec.

Source link: FunnyWolf/agentic-soc-platform

bugineverything

Related Posts

AdaptixC2 v1.2 — Framework Hậu Khai Thác (Post-Exploitation) ...
5 Tháng 5, 2026
Mobile Security Framework (MobSF) – Framework Đánh Giá Bảo ...
4 Tháng 5, 2026
Open ASM (OASM) – Nền tảng mã nguồn mở quản lý bề ...
4 Tháng 5, 2026

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *