وكلاء الذكاء الاصطناعي — مرجع البنية التشغيلية الحالية
يشغّل AuroraSOC حاليًا 14 وكيلًا: منسق واحد و13 وكيلًا متخصصًا. تعتمد البنية التشغيلية الحية على مصنع مشترك للوكلاء وخادم عام للوكلاء المتخصصين، وليس على ملف server.py مستقل لكل مجلد وكيل.
البنية التشغيلية الحالية
- يمثّل
aurorasoc.agents.factory.AGENT_SPECSالمصدر المرجعي للوكلاء المتخصصين القابلين للتشغيل، بما في ذلك الأدوار والمطالبات وقوالب الذاكرة. - تمثل
aurorasoc.agents.mcp_agent_loader.AGENT_MCP_BINDINGSالمصدر المرجعي لنطاقات MCP التي يحق لكل وكيل الوصول إليها. - يشغّل
aurorasoc.agents.generic_serverمعظم الخدمات المتخصصة انطلاقًا من متغيرات البيئة. - يحتفظ
aurorasoc.agents.orchestrator.serverبنقطة تشغيل مستقلة لأنه يبني أدوات A2A لتفويض العمل إلى بقية الأسطول. - تعد المجلدات الفرعية تحت
aurorasoc/agents/*في الغالب علامات حزم أو طبقات توافق للهجرة، وليست سطح التنفيذ الرئيسي في وقت التشغيل.
مثال على تشغيل وكيل متخصص:
AGENT_NAME=SecurityAnalyst \
AGENT_PORT=9001 \
AGENT_TAGS=siem,detection \
python -m aurorasoc.agents.generic_server
يقبل الخادم العام للوكلاء المتخصصين متغيرات البيئة التالية:
| المتغير | مطلوب | الغرض |
|---|---|---|
AGENT_NAME | نعم | اسم الوكيل كما هو معرف في AGENT_SPECS مثل SecurityAnalyst |
AGENT_PORT | نعم | منفذ مستمع A2A |
AGENT_TAGS | لا | وسوم اكتشاف مفصولة بفواصل |
AGENT_FACTORY_METHOD | قديم | اسم متوافق مع الصيغة القديمة create_* |
كيف يعمل الأسطول
- يستقبل المنسق طلب التحقيق.
- يستنتج المهام المطلوبة ويحدد الوكلاء المتخصصين المناسبين.
- يفوض العمل عبر أدوات handoff المبنية على A2A.
- يحمّل كل وكيل فقط أدوات MCP المصرح بها ضمن نطاقاته المحددة.
- يدمج المنسق النتائج ويحول الإجراءات عالية الخطورة إلى مسار الموافقة البشرية.
الوكلاء القابلون للتشغيل
| الوكيل | المنفذ | الذاكرة | نطاقات MCP | الاستخدام الرئيسي |
|---|---|---|---|---|
Orchestrator | 9000 | ORCHESTRATOR_MEMORY | soar | تخطيط التحقيق، التفويض، الدمج، والتنسيق المراعي للموافقات |
SecurityAnalyst | 9001 | ANALYST_MEMORY | siem, soar, osint, document | فرز التنبيهات، استخراج المؤشرات، ربط MITRE، والتحليل المرتبط بالامتثال |
ThreatHunter | 9002 | HUNTER_MEMORY | siem, ueba, osint | الصيد المعتمد على الفرضيات، كشف LOLBins، والمراجعة السلوكية |
MalwareAnalyst | 9003 | INTEL_MEMORY | malware, threat_intel, malware_intel | تحليل البرمجيات الخبيثة، مراجعة الـ sandbox، وتوقيعات YARA والسلوك |
IncidentResponder | 9004 | RESPONDER_MEMORY | soar, edr, network, document | الاحتواء والاستئصال والتعافي وتنفيذ playbooks |
NetworkSecurity | 9005 | ANALYST_MEMORY | network, siem, network_capture | اكتشافات الشبكة، الشذوذ، الإخراج غير المشروع للبيانات، وسياق الاستجابة |
WebSecurity | 9006 | ANALYST_MEMORY | siem, network, osint | هجمات الويب، مراجعة WAF، وتحليل إساءة استخدام API |
CloudSecurity | 9007 | ANALYST_MEMORY | siem, cloud_provider | وضعية السحابة، شذوذ IAM، ومراجعة أمنية موجهة للحاويات |
CPSSecurity | 9008 | RESPONDER_MEMORY | cps, network_capture | CPS وIoT وOT والتحقق من العتاد والربط بين الفيزيائي والسيبراني |
ThreatIntel | 9009 | INTEL_MEMORY | threat_intel, siem, osint, vuln_intel, document | إثراء المؤشرات، تغذيات التهديد، ترتيب CVE وEPSS، والربط التنظيمي |
EndpointBehavior | 9010 | HUNTER_MEMORY | ueba, edr, siem, malware | تحليل موحد لـ EDR وUEBA وسلاسل العمليات وخطوط الأساس وإشارات المخاطر الداخلية |
ForensicAnalyst | 9012 | RESPONDER_MEMORY | forensics, siem, network_capture | جمع الأدلة، إعادة بناء الجداول الزمنية، وسير عمل سلسلة الحيازة |
ReportGenerator | 9015 | LIGHTWEIGHT_MEMORY | soar, siem, document | الملخصات التنفيذية والتقارير الفنية وإخراج الوثائق |
NetworkAnalyzer | 9016 | ANALYST_MEMORY | network, siem, network_capture | تحليل شبكي للقراءة فقط مع استبعاد أدوات الحظر النشطة |
عمليات الدمج التاريخية
قد تشير بعض الوثائق القديمة أو اللقطات أو الفروع السابقة إلى وكلاء لم يعودوا وكلاء تشغيل مستقلين:
- تم دمج
EndpointSecurityوUEBAAnalystفيEndpointBehavior. - تم نقل قدرات
VulnerabilityManagerإلىThreatIntel. - تم توزيع مسؤوليات
ComplianceAnalystبينSecurityAnalystوThreatIntel.
تبقى الحزم التوافقية لهذه الأسماء في المستودع لأغراض الهجرة والاستقرار، لا كنقاط تشغيل أساسية.
التفويض والأمان
- الوصول إلى الأدوات حتمي ومحدود. لا يرى كل وكيل إلا أدوات MCP التابعة للنطاقات المحددة له في
AGENT_MCP_BINDINGS. - يتحقق
generic_serverمن اسم الوكيل المطلوب قبل بدء التشغيل. - يتم التحقق من الربط مع MCP عند بدء التشغيل لاكتشاف النطاقات غير المسجلة أو المنافذ الناقصة.
- يعد
NetworkAnalyzerوكيل التحليل الشبكي للقراءة فقط. يشترك معNetworkSecurityفي نطاقات التحليل، لكنه يستبعد أداةblock_ip.
ملفات الذاكرة
| الملف | يستخدمه | الملاحظات |
|---|---|---|
ANALYST_MEMORY | SecurityAnalyst, NetworkSecurity, WebSecurity, CloudSecurity, NetworkAnalyzer | مناسب للتحليل مع استرجاع عرضي |
HUNTER_MEMORY | ThreatHunter, EndpointBehavior | مهيأ للتحقيقات السلوكية والصيد |
RESPONDER_MEMORY | IncidentResponder, CPSSecurity, ForensicAnalyst | سياق عمل أوسع للاستجابة متعددة الخطوات |
INTEL_MEMORY | MalwareAnalyst, ThreatIntel | مناسب للإثراء والتحليل الغني بالسياق |
LIGHTWEIGHT_MEMORY | ReportGenerator | أثر خفيف للتلخيص وإنتاج التقارير |
ORCHESTRATOR_MEMORY | Orchestrator | ذاكرة موجهة للتنسيق والتفويض والدمج |
إضافة وكيل جديد أو تعديل وكيل قائم
- أضف أو عدل مطالبة النظام في
aurorasoc/agents/prompts.py. - أضف أو عدل إدخال
AgentSpecفيaurorasoc/agents/factory.py. - حدث ربط نطاقات MCP في
aurorasoc/agents/mcp_agent_loader.py. - إذا كان المنسق يجب أن يفوض العمل إلى هذا الوكيل مباشرة، فأضفه إلى
SPECIALIST_NAMESفيaurorasoc/agents/orchestrator/server.py. - أضف إعدادات النشر في
docker-compose.ymlأوscripts/run_local_agents.pyباستخدامAGENT_NAMEوAGENT_PORTوAGENT_TAGS. - استخدم
aurorasoc.agents.generic_serverما لم تكن هناك حاجة فعلية لسلوك بدء تشغيل مخصص. - حدث هذه الصفحة ونظيرتها في قسم المساهمين حتى تبقى الوثائق موافقة للتنفيذ الفعلي.
ما الذي يجب اعتباره قديمًا
إذا صادفت أيًا مما يلي، فاعتبره مرجعًا تاريخيًا:
- أي ذكر يفيد بأن AuroraSOC يشغل 17 وكيلًا
- أوامر تشغيل تستخدم
python -m aurorasoc.agents.<specialist>.server - أوصاف تشغيل مستقلة لـ
EndpointSecurityأوUEBAAnalystأوComplianceAnalystأوVulnerabilityManager
البنية التشغيلية الحالية هي نموذج 14 وكيلًا المبني على المصنع المشترك والخادم العام للوكلاء المتخصصين كما هو موضح أعلاه.