soc alert triage
Squad especialista em triagem de alertas SOC para cybersecurity — classificação automatizada, filtragem de falsos positivos, priorização de ameaças, enriquecimento com threat intel e geração de briefs para analistas
npx squads add gutomec/squads-sh-aios/soc-alert-triage -ysoc-alert-triage
SOC告警分诊网络安全专家小组。
概述
soc-alert-triage 是一个完整的小组,涵盖整个安全告警分诊流水线:
- 告警分类 — 从多个来源(SIEM、IDS、EDR、云)按类型、严重性和MITRE ATT&CK映射进行自动化分类
- 误报过滤 — 使用历史模式、行为基线和上下文白名单识别和过滤误报
- 威胁优先级排序 — 基于可利用性、爆炸半径、资产关键性和业务影响的风险评分
- 威胁情报丰富 — IOC、完整MITRE ATT&CK映射、信誉评分和历史关联
- 简报生成 — 包含时间线、推荐剧本、IOC和优先响应操作的可操作文档
痛点: SOC分析师每天面临4000+告警,80%以上为误报——导致告警疲劳、倦怠和错过真实威胁的风险。
代理
| 代理 | ID | 角色 |
|---|---|---|
| 🏷️ Classifier | alert-classifier | 按类型、严重性和MITRE ATT&CK分类告警 |
| 🛡️ FPFilter | false-positive-filter | 使用基线和启发式方法过滤误报 |
| ⚡ Prioritizer | threat-prioritizer | 按复合风险评分排序威胁优先级 |
| 🔍 Enricher | context-enricher | 使用IOC和威胁情报丰富上下文 |
| 📊 BriefGen | analyst-brief-generator | 为SOC分析师生成可操作简报 |
工作流
| 工作流 | 命令 | 描述 | 持续时间 |
|---|---|---|---|
| 完整告警分诊 | *triage-full | 完整流水线:从分类到简报 | 30-60分钟 |
| 快速分类 | *rapid-classify | 快速分类:分类、过滤和简报 | 10-20分钟 |
可用命令
| 命令 | 代理 | 描述 |
|---|---|---|
*classify-alerts | Classifier | 批量分类安全告警 |
*classify-single | Classifier | 分类特定告警 |
*filter-fps | FPFilter | 批量过滤误报 |
*check-fp | FPFilter | 检查告警是否为误报 |
*prioritize | Prioritizer | 按风险评分排序威胁 |
*risk-score | Prioritizer | 计算特定威胁的风险评分 |
*triage-full | Prioritizer | 完整分诊流水线 |
*enrich | Enricher | 使用上下文和威胁情报丰富告警 |
*ioc-lookup | Enricher | 在威胁情报源中查找IOC |
*generate-brief | BriefGen | 为SOC分析师生成简报 |
*incident-summary | BriefGen | 生成事件执行摘要 |
快速开始
# 激活优先级排序器(主编排器) /sat:agents:threat-prioritizer # 完整告警分诊流水线 *triage-full # 快速分类 *rapid-classify # 仅告警分类 *classify-alerts # 仅生成简报 *generate-brief
目标用户
- SOC分析师(L1、L2、L3)
- 安全工程师
- 威胁猎人
- CISO和安全负责人
- 事件响应团队
要求
- 访问SIEM(Splunk、QRadar、Sentinel、Elastic SIEM)
- 访问威胁情报源(VirusTotal、AbuseIPDB、MISP)
- 访问EDR工具(CrowdStrike、SentinelOne、Defender)
- MITRE ATT&CK框架作为分类参考
评价
0 条评价暂无评价。来做第一个评价者吧!
More from Luiz Rodrigues
aios forge squad
Squad supremo de desenvolvimento, otimização e evolução do AIOS — domínio total do framework, Claude Code e auto-atualização contínua. Capaz de criar, validar, otimizar e modernizar qualquer artefato AIOS.
ultimate landingpage
Squad fullstack para criação de landing pages de ultra-alta conversão. Pipeline end-to-end com 9 agentes especializados: discovery de produto, pesquisa de mercado e experts de copywriting, design system atômico com contraste WCAG AAA e light/dark, geração de imagens por IA, frontend Next.js com SEO perfeito e acessibilidade WCAG AAA, backend Python FastAPI com admin panel e exportação CSV, integrações com WhatsApp (evolution-api) e email (MCP), e QA multi-dimensional com score por dimensão.
nirvana squad creator
Gera squads AIOS otimizados a partir de linguagem natural — pipeline de 9 fases com análise, geração, otimização, validação, README multi-idioma, deploy e publicação no squads.sh
brandcraft
Squad para extração de design systems de URLs, criação de documentos brand-consistent (PDF, PPTX, carousels, social cards, vídeos programáticos) e melhoria de PDFs existentes. Pipeline com 9 agentes especializados: orquestração, extração de tokens visuais, gerenciamento de templates, renderização HTML→PDF/PNG via Puppeteer, criação de PPTX via PptxGenJS, composição de vídeos via Remotion (React→MP4/WebM), geração de imagens por IA, refinamento de PDFs existentes e validação de consistência de marca.
data quality guardian
Squad especialista em qualidade de dados — profiling de datasets, detecção de anomalias, validação de schemas, geração de relatórios de qualidade e sugestão de remediações automatizadas para pipelines de dados
notebooklm automation
Automação programática completa do Google NotebookLM — da criação de notebooks à geração de podcasts, vídeos, slides e quizzes, orquestrada por pipeline inteligente
incident response squad
Squad especialista em resposta a incidentes para DevOps/SRE — análise de logs, correlação de causa raiz, execução de runbooks, comunicação de status e geração de post-mortems blameless
adaptive tutor k12
Squad especialista em tutoria adaptativa K-12 — avaliação diagnóstica, mapeamento curricular personalizado, sessões de tutoria com dificuldade adaptativa, rastreamento de progresso e relatórios para pais e educadores
nirvana readme architect
Squad de geração de README.md perfeito e impecável, combinando análise profunda de codebase, seleção de template por tipo de projeto, todas as features do GitHub Flavored Markdown, validação com checklist de 25+ pontos e polimento final com badges e TOC.
resume screener squad
Squad especialista em triagem de currículos para recrutamento — parsing automatizado de CVs, matching de skills com requisitos da vaga, auditoria de vieses, ranking de candidatos e geração de resumos executivos para hiring managers
automated code review squad
Squad especialista em code review automatizado — revisão de segurança, análise lógica, verificação de padrões arquiteturais, enforcement de coding standards e geração de review summaries priorizados para PRs e commits