Интеграция агента OpenClaw SOC для охоты за угрозами в домашней лаборатории SIEM

Агент SOC OpenClaw для домашней учебной лаборатории SIEM

Пользователь Reddit задокументировал свою полную инфраструктуру SIEM и интегрировал ИИ-агента для автоматизации операций безопасности. Проект под названием Red Threat Redemption представляет собой открытую SIEM-систему, построенную на Debian 13.

Основные компоненты SIEM

Инфраструктура включает:

• Elasticsearch & Kibana для хранения данных и визуализации
• Filebeat & Vector для сбора логов
• Wazuh Manager для мониторинга безопасности
• Сетевой мониторинг Zeek на дополнительном сетевом интерфейсе с зеркалированием портов (SPAN)
• Интеграция pfSense с Suricata, pfBlocker и syslog

Интеграция ИИ-агента

Пользователь недавно добавил в стек агентный ИИ-компонент, который выполняет:

• Кросс-источниковую корреляцию данных безопасности
• Охоту за угрозами по заданным гипотезам в ротационном режиме
• Сортировку оповещений каждые 30 минут
• Мониторинг работоспособности инфраструктуры SIEM
• Автоматическую отчетность

Пользователь сообщает, что ИИ-агент "отлично справляется и продолжает хорошо работать" в его среде.

Документация и руководства

Полные пошаговые руководства по настройке доступны на GitHub по адресу https://github.com/pho5nix/Red-Threat-Redemption-SIEM

Полное описание интеграции ИИ-агента доступно на Medium по адресу https://medium.com/@georgemkrs/building-a-full-siem-from-scratch-and-teaching-an-ai-agent-to-hunt-threats-in-it-f5c563374471