Mike：将SOC分析师推理转化为可查询知识图谱的Splunk原生智能代理

Mike是一款专为安全运营中心（SOC）设计的Splunk原生智能代理，核心创新在于将分析师的推理过程转化为结构化、可查询的机构知识图谱，解决安全分析领域知识沉淀与复用难题。支持通过SPL、Python CLI和MCP服务器三种方式访问，助力SOC智能化转型。

• 原作者/维护者: shiwani42
• 来源平台: GitHub
• 原始链接: https://github.com/shiwani42/Mike
• 发布时间: 2026-06-13

知识图谱构建

Mike通过分析SOC分析师的查询行为和调查路径，自动构建知识图谱，不仅记录“查询了什么”，更关键的是记录“为什么这样查询”及背后的推理逻辑。

多接口访问支持

提供三种访问方式：

1. SPL（Search Processing Language）: 直接在Splunk环境中使用原生查询语言访问知识图谱
2. Python CLI: 为自动化脚本和批量操作提供命令行接口
3. MCP（Model Context Protocol）服务器: 支持与现代AI助手和智能代理集成

推理过程捕获

与传统日志记录工具不同，Mike专注于捕获分析师的推理链条：

• 追踪查询序列的上下文关系
• 识别关键决策点和分支路径
• 提取可复用的调查模式

机构知识沉淀

将个体分析师经验转化为结构化知识，帮助组织：

• 缩短新分析师学习曲线
• 建立标准化调查流程
• 保留离职分析师宝贵经验

1. 威胁狩猎: 利用知识图谱快速识别类似威胁的历史调查路径，加速威胁发现
2. 事件响应: 紧急场景下推荐基于历史案例的最佳实践调查步骤
3. 培训与知识传承: 新分析师通过查询知识图谱学习资深同事的调查思路和技巧

相比传统SIEM工具和安全编排平台，Mike的独特之处：

• 关注推理而非仅结果: 不仅记录查询结果，更记录推理过程
• 原生Splunk集成: 无需额外数据迁移或复杂集成
• 开放式接口: MCP协议支持与各类现代AI工具协同工作

Mike代表了安全运营领域知识管理的新范式，通过将人类分析师的直觉和经验转化为机器可查询的知识图谱，为SOC智能化转型提供基础设施。未来有望在自动化威胁检测、智能事件分级和预测性安全分析等领域发挥更大作用。