Argus — 智能 SOC 平台
Argus 是一款 AI 原生的安全运营中心(SOC)平台,将告警接入、事件调查、检测工程与自动化响应整合在统一的操作界面中。平台面向现代安全团队设计,以 AI 智能体和灵活的 SOAR 引擎为驱动,取代碎片化工具链,构建以证据为核心的连贯工作流。
核心能力
| 能力模块 | 说明 |
|---|---|
| 统一告警接入 | 通过可配置的数据管道连接 Elasticsearch(ELK)、EDR、SIEM 及其他告警源 |
| AI 辅助调查 | 每个工单内置 AI 助手,提供告警解释、风险评估、IOC 提取和建议处置步骤 |
| 检测工程管理 | Sigma 规则库,含字段映射管理、多后端发布(Splunk、Elastic)及发布历史审计 |
| 自动化响应(SOAR) | 可视化工作流编辑器,支持无代码剧本构建、定时调度、Webhook 触发及 Prefect 编排 |
| SLA 跟踪 | 自动计算 MTTA / MTTI / MTTC / MTTR,以颜色编码形式直观展示合规状态 |
| 协作战情室 | 每个工单均有独立的分析师注记、文件证据、处理日志及 AI 任务区域 |
| MCP 工具框架 | 基于模型上下文协议(MCP)的可扩展工具层,支持 AI 智能体在运行时调用外部安全工具 |
平台架构
┌─────────────────────────────────────────────────────────┐
│ Argus 平台架构 │
├──────────────┬──────────────────┬───────────────────────┤
│ 前端 │ 后端 │ 数据管道 │
│ (Next.js) │ (Django REST) │ ES → Orchestrator → │
│ Port 3000 │ Port 8000 │ Correlation → 告警 │
└──────────────┴────────┬─────────┴───────────────────────┘
│
┌───────────┼───────────┐
│ │ │
PostgreSQL AI 层 Prefect
(数据持久化) (OpenAI (工作流
兼容接口) 编排引擎)
平台完全容器化,通过 Docker Compose 部署。前端、后端和数据库三层各自作为独立服务运行,网络边界清晰。
模块索引
| 编号 | 模块 | 用途 |
|---|---|---|
| 1 | 项目总览 | 平台介绍与导航指引(本页) |
| 2 | 安装部署 | 基于 Docker 的快速启动部署 |
| 3 | 仪表盘 | 实时监控概览与告警统计 |
| 4 | 工单处理 | 事件生命周期管理、SLA 跟踪、战情室、工作流 |
| 5 | 告警管理 | 告警接入、列表查看、分类处理与关联分析 |
| 6 | 用例管理 | Sigma 规则库、字段映射、发布历史 |
| 7 | 数据接入 | ELK 集成配置、Orchestrator 调度、关联策略 |
| 8 | Docker 部署 | 生产级 Docker Compose 编排部署 |
| 9 | AI 智能体 | AI 助手配置、MCP 工具管理、技能管理 |
快速参考
| 项目 | 说明 |
|---|---|
| 平台地址 | https://siem.seclink.info/ |
| 登录方式 | Internal Login(用户名 / 密码) |
| 默认登陆页 | Monitor → Overview(仪表盘) |
| 适用对象 | SOC 分析员、检测工程师、SIEM 管理员 |
登录后系统默认进入 Dashboard Overview 页面。若尚未配置数据源,所有统计指标将显示为零。请前往数据接入完成首个数据源的接入配置。