# Analisa:面向SOC的威胁狩猎智能助手 > 本文介绍Analisa项目,这是一个专为安全运营中心(SOC)设计的LLM集成系统,通过自然语言处理技术帮助威胁狩猎团队快速分析Elasticsearch遥测数据、分类安全告警并生成调查剧本。 - 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm) - 发布时间: 2026-04-11T16:11:35.000Z - 最近活动: 2026-04-11T16:19:42.825Z - 热度: 139.9 - 关键词: SOC, 威胁狩猎, LLM, 安全运营, Elasticsearch, 告警分析, 多智能体 - 页面链接: https://www.zingnex.cn/forum/thread/analisa-soc - Canonical: https://www.zingnex.cn/forum/thread/analisa-soc - Markdown 来源: ingested_event --- # Analisa:面向SOC的威胁狩猎智能助手 ## 安全运营的痛点:海量告警与有限人力 在现代企业安全运营中心(SOC)中,安全分析师每天面临着一个严峻的挑战:海量安全告警与有限人力资源之间的矛盾。传统的安全信息和事件管理(SIEM)系统虽然能够收集和存储来自终端检测响应(EDR)等安全工具的遥测数据,但分析师仍需手动查询Elasticsearch、分析日志、关联事件,这个过程耗时且容易遗漏关键威胁。如何在保证调查质量的同时提升分析效率,成为SOC团队亟待解决的问题。 ## Analisa项目:LLM驱动的安全分析助手 Analisa是一个独立的大语言模型(LLM)集成系统,专为威胁狩猎团队的日常安全运营而设计。该项目由CyberSecurity Malaysia(MyCERT)的威胁狩猎部门在实习期间开发,旨在弥合原始Elasticsearch遥测数据与自然语言处理之间的鸿沟。通过将LLM能力引入安全分析工作流,Analisa使分析师能够使用自然语言快速查询复杂的高容量安全日志,大幅缩短调查时间。 ## 技术架构:多智能体协作系统 Analisa采用多智能体架构,将安全调查流程分解为多个专业化阶段,每个阶段由特定的智能体负责。这种设计既保证了调查的系统性,又提供了清晰的审计追踪能力。 ### 技术栈组成 系统后端基于Python和Django框架构建,提供稳定的Web应用服务。数据集成层通过Elasticsearch API与SIEM/EDR系统对接,实时获取安全遥测数据。AI/ML引擎采用本地化部署的LLM架构,专门针对日志解析和安全分析场景进行优化,确保敏感数据不会离开内部网络。 ### 多智能体工作流 Analisa将安全调查分解为四个核心智能体阶段,每个阶段都有明确的职责分工: **Manager(管理器)- 绿色标识**:负责创建初始事件调查文档,从Elastic提取信息生成草稿剧本,构建基于EDR数据的验证框架。 **Analyst(分析师)- 蓝色标识**:作为核心指令层,逐步执行剧本中的调查步骤,格式化精确的提示词供LLM执行。 **ElasticQueryAgent with Lightning(查询智能体)- 橙色标识**:根据分析师阶段的指令制定并执行查询,输出以Python代码形式展示AI与数据库的通信过程。 **ElasticQueryAgent(结果智能体)- 紫色标识**:将前一阶段的原始Python输出转换为人类可读的摘要文本,供分析师审阅。 ## 核心功能:从告警到裁决的完整闭环 ### 加速告警分类 Analisa使分析师能够使用自然语言查询复杂的高容量安全日志,无需掌握复杂的Elasticsearch查询语法。系统会自动将自然语言问题转换为精确的Elastic查询,并将结果以结构化方式呈现, drastically reducing investigation times。 ### 自动化剧本生成 系统能够基于原始EDR遥测数据自动起草事件调查文档,创建结构化的验证剧本。这种自动化不仅提高了效率,还确保了调查过程的一致性和完整性。 ### 智能裁决建议 调查完成后,Analisa会提供人类可读的完整调查摘要,并基于LLM发现给出建议裁决。裁决分为三类: - **误报(False Positive)**:初始预期为真,但经过LLM彻底调查后裁决为假 - **确认威胁(True Positive)**:预测结果为真,且基于调查过程中发现的可靠证据确认 - **需进一步调查(Need Further Investigation)**:AI判断需要人工介入,可能涉及敏感文件路径、遥测数据缺失或需要系统所有者确认操作是否授权 ## 隐私与合规:本地化部署的价值 Analisa采用完全本地化的LLM架构,确保高度敏感的日志数据永远不会离开内部网络。这一设计对于处理涉及隐私和机密(P&C)限制的安全数据至关重要。通过在内部网络部署LLM,企业可以在享受AI能力的同时,满足数据保护法规和保密协议(NDA)的要求。 ## 实践意义与未来展望 Analisa代表了LLM在安全运营领域的一个典型应用范式:不是取代人类分析师,而是作为智能助手增强人类能力。通过自动化重复性任务、提供结构化分析框架、生成可审计的调查记录,Analisa使分析师能够将精力集中在真正需要人类判断的复杂威胁上。随着大语言模型能力的持续提升,我们可以预期看到更多类似的AI辅助安全工具出现,推动SOC运营向智能化、自动化方向演进。