Agentic SOC Platform — LLM-Powered Security Operations

简介

Agentic SOC Platform（ASP）是模块化的安全运营栈：README 提到内置 LangGraph/Dify 等 agent 模板，用于告警分析与自动化响应 playbooks。它面向希望本地部署、掌控数据与模型的团队。

最适合： 要做 Agent 辅助告警研判与响应自动化原型的安全运营团队

适配： Python 生态、SIEM 告警源、Webhook、Redis Streams（README 提及）、模块化 playbooks

配置时间： 45–90 分钟

关键事实（已验证）

• README 描述了包含 Webhook 转发与 Redis Streams 的多阶段处理流程。
• 仓库根目录包含 modules/plugins/playbooks 等结构（可在 repo 结构看到）。
• GitHub：819 stars · 135 forks；最近更新 2026-05-12（GitHub API 验证）。

正文

即便你不直接落地整套 ASP，也可以把它当作参考架构：

• 采集（webhook）/分析（agent modules）/动作（playbooks）分层。
• 每次自动决策都要留审计线索。
• 先做“建议模式”，再逐步开放自动处置。

接入生产 SIEM 数据前，做权限 review，并按模块隔离凭据。

README 原文节选（verbatim）

Getting-started · Documentation

Agentic SOC Platform A powerful, flexible, open-source, and agent-centric automated security operations platform.

Core Features

• 🧠 AI-driven Intelligence: Utilizes built-in AI Agent templates like Langgraph and Dify, supporting local LLMs to enhance alert analysis and automated response capabilities.
• 📊 Built-in SIRP Platform: Comes with a ready-to-use Security Incident Response Platform (SIRP) built on Nocoly, allowing for rapid customization of user interfaces, data models, reports, and workflows.
• ⚙️ Powerful Automation Workflow: Achieves efficient alert processing through Webhook + Redis Stream, natively supporting mainstream SIEM platforms such as Splunk and Kibana (ELK).
• 🛠️ Highly Extensible: Provides a rich library of modules and plugins. The entire framework is written in Python, facilitating secondary development and integration with various security devices and APIs.

FAQ

开箱即用吗？ 答：README 更像平台介绍，部署步骤以官方文档为准；请按 Getting-started 指南搭建。

它提到了哪些集成？ 答：README 提到 SIEM 来源、Webhook 转发、Redis Streams，以及 playbooks/modules。

如何更安全部署？ 答：先本地跑通、隔离凭据，并把自动化动作置于审批与审计日志之下。