Argus — 智能 SOC 平台

Argus 是一款 AI 原生的安全运营中心(SOC)平台,将告警接入、事件调查、检测工程与自动化响应整合在统一的操作界面中。平台面向现代安全团队设计,以 AI 智能体和灵活的 SOAR 引擎为驱动,取代碎片化工具链,构建以证据为核心的连贯工作流。

核心能力

能力模块 说明
统一告警接入 通过可配置的数据管道连接 Elasticsearch(ELK)、EDR、SIEM 及其他告警源
AI 辅助调查 每个工单内置 AI 助手,提供告警解释、风险评估、IOC 提取和建议处置步骤
检测工程管理 Sigma 规则库,含字段映射管理、多后端发布(Splunk、Elastic)及发布历史审计
自动化响应(SOAR) 可视化工作流编辑器,支持无代码剧本构建、定时调度、Webhook 触发及 Prefect 编排
SLA 跟踪 自动计算 MTTA / MTTI / MTTC / MTTR,以颜色编码形式直观展示合规状态
协作战情室 每个工单均有独立的分析师注记、文件证据、处理日志及 AI 任务区域
MCP 工具框架 基于模型上下文协议(MCP)的可扩展工具层,支持 AI 智能体在运行时调用外部安全工具

平台架构

┌─────────────────────────────────────────────────────────┐
│                      Argus 平台架构                      │
├──────────────┬──────────────────┬───────────────────────┤
│    前端      │      后端        │       数据管道         │
│  (Next.js)   │  (Django REST)   │  ES → Orchestrator →  │
│  Port 3000   │   Port 8000      │  Correlation → 告警    │
└──────────────┴────────┬─────────┴───────────────────────┘
                        │
            ┌───────────┼───────────┐
            │           │           │
        PostgreSQL    AI 层       Prefect
        (数据持久化) (OpenAI     (工作流
                     兼容接口)   编排引擎)

平台完全容器化,通过 Docker Compose 部署。前端、后端和数据库三层各自作为独立服务运行,网络边界清晰。

模块索引

编号 模块 用途
1 项目总览 平台介绍与导航指引(本页)
2 安装部署 基于 Docker 的快速启动部署
3 仪表盘 实时监控概览与告警统计
4 工单处理 事件生命周期管理、SLA 跟踪、战情室、工作流
5 告警管理 告警接入、列表查看、分类处理与关联分析
6 用例管理 Sigma 规则库、字段映射、发布历史
7 数据接入 ELK 集成配置、Orchestrator 调度、关联策略
8 Docker 部署 生产级 Docker Compose 编排部署
9 AI 智能体 AI 助手配置、MCP 工具管理、技能管理

快速参考

项目 说明
平台地址 https://siem.seclink.info/
登录方式 Internal Login(用户名 / 密码)
默认登陆页 Monitor → Overview(仪表盘)
适用对象 SOC 分析员、检测工程师、SIEM 管理员

登录后系统默认进入 Dashboard Overview 页面。若尚未配置数据源,所有统计指标将显示为零。请前往数据接入完成首个数据源的接入配置。