Analisa：面向SOC的威胁狩猎智能助手

本文介绍Analisa项目，这是CyberSecurity Malaysia（MyCERT）威胁狩猎部门开发的LLM集成系统，专为安全运营中心（SOC）设计。它通过自然语言处理技术帮助威胁狩猎团队快速分析Elasticsearch遥测数据、分类安全告警并生成调查剧本，解决海量告警与有限人力的矛盾，提升安全分析效率。

现代企业SOC中，安全分析师每天面临海量安全告警与有限人力资源的严峻挑战。传统SIEM系统虽能收集终端检测响应（EDR）等工具的遥测数据，但分析师需手动查询Elasticsearch、分析日志、关联事件，过程耗时且易遗漏关键威胁。如何在保证调查质量的同时提升分析效率，是SOC团队亟待解决的问题。

Analisa是独立的大语言模型（LLM）集成系统，专为威胁狩猎团队日常安全运营设计。该项目旨在弥合原始Elasticsearch遥测数据与自然语言处理之间的鸿沟，通过引入LLM能力，使分析师能用自然语言快速查询复杂高容量安全日志，大幅缩短调查时间。

Analisa采用多智能体架构，将安全调查流程分解为专业化阶段：

• Manager（管理器）：创建初始事件调查文档，从Elastic提取信息生成草稿剧本，构建基于EDR数据的验证框架；
• Analyst（分析师）：作为核心指令层，执行剧本步骤并格式化LLM提示词；
• ElasticQueryAgent with Lightning：根据指令制定并执行查询，输出Python代码展示AI与数据库通信过程；
• ElasticQueryAgent：转换原始Python输出为人类可读摘要。 技术栈：后端基于Python和Django框架，数据层通过Elasticsearch API对接SIEM/EDR系统，AI引擎采用本地化部署的LLM（针对日志解析和安全分析优化，确保敏感数据不离开内部网络）。

核心功能：

1. 加速告警分类：支持自然语言查询，自动转换为Elastic查询并结构化呈现结果，显著减少调查时间；
2. 自动化剧本生成：基于EDR遥测数据自动起草调查文档，确保调查过程的一致性和完整性；
3. 智能裁决建议：输出可读调查摘要，给出三类裁决（误报/确认威胁/需进一步调查）。 隐私合规：采用完全本地化LLM架构，敏感日志数据永远不离开内部网络，满足数据保护法规和保密协议（NDA）要求。

Analisa代表LLM在安全运营领域的典型应用范式：不是取代人类分析师，而是作为智能助手增强其能力。通过自动化重复任务、提供结构化分析框架、生成可审计记录，Analisa让分析师聚焦真正需要人类判断的复杂威胁。未来，随着LLM能力提升，更多AI辅助安全工具将推动SOC向智能化、自动化方向演进。