نظرة عامة على المشروع – ما هو AuroraSOC؟
مرحباً. تشرح هذه الصفحة ما هو AuroraSOC، وما هي المشكلة التي يحلها، ومن تم تصميمه من أجله، وكيف تتناسب كل أجزاء النظام معًا. لا يُفترض وجود معرفة مسبقة - يتم تعريف كل مصطلح عند ظهوره لأول مرة.
المشكلة: مراكز العمليات الأمنية مكتظة
مركز العمليات الأمنية (SOC) هو فريق من الأشخاص (يُطلق عليهم محللو الأمن) الذين يراقبون أجهزة الكمبيوتر والشبكات والأجهزة الخاصة بالمؤسسة بحثًا عن علامات الهجمات الإلكترونية. فكر في الأمر على أنه "غرفة التحكم الأمني" للبنية التحتية الرقمية للشركة بأكملها.
تواجه SOC الحديثة تحديات معوقة:
| مشكلة | ماذا يعني |
|---|---|
| ** تنبيه التعب ** | تولد أدوات الأمان آلاف التنبيهات يوميًا. معظمها إنذارات كاذبة، ولكن يجب على المحللين التحقق من كل منها. إنهم يحترقون ويبدأون في فقدان التهديدات الحقيقية. |
| رد بطيء | يمكن أن يستغرق التحقيق في تنبيه واحد ساعات من العمل اليدوي، مثل البحث في السجلات وربط البيانات والتحقق من قواعد بيانات التهديدات. يتحرك المهاجمون بشكل أسرع من قدرة البشر على الاستجابة. |
| النقاط العمياء IoT/OT | تستخدم المؤسسات بشكل متزايد IoT (إنترنت الأشياء — الأجهزة الذكية مثل أجهزة الاستشعار والكاميرات ووحدات التحكم الصناعية) وOT (التكنولوجيا التشغيلية — آلات المصانع، وأجهزة التحكم في شبكة الطاقة). لا تتمتع أجهزة SOC التقليدية بأي رؤية تقريبًا لهذه الأجهزة. |
| ** صوامع المعرفة ** | عندما يغادر المحلل ذو الخبرة، فإن خبرته تغادر معه. لا يتم الحفاظ على المعرفة الاستقصائية بشكل منهجي. |
| ** تكاليف القياس ** | الطريقة الوحيدة للتعامل مع المزيد من التنبيهات في SOC التقليدية هي توظيف المزيد من المحللين. هذا لا يتسع اقتصاديا. |
الحل: AuroraSOC
AuroraSOC هو مركز عمليات أمنية مفتوح المصدر ومدعوم بالذكاء الاصطناعي. بدلاً من الاعتماد فقط على المحللين البشريين، يقوم بنشر فريق مكون من 16 وكيلًا متخصصًا في الذكاء الاصطناعي — كل منهم خبير في مجال أمني محدد — يتم تنسيقهم بواسطة وكيل منسق رئيسي.
عند وصول تنبيه أمني، يقرأه المنسق، ويقرر أي المتخصصين المطلوبين (على سبيل المثال: "يبدو هذا وكأنه إصابة ببرامج ضارة على نقطة نهاية، لذلك أحتاج إلى محلل البرامج الضارة وأمن نقطة النهاية والمستجيب للحوادث")، ويرسل المهام إليهم بالتوازي، ويجمع النتائج التي يتوصلون إليها، ويجمعها في تقرير، ويوصي بإجراءات الاستجابة - كل ذلك في دقائق بدلاً من ساعات.
ماذا يعني "وكيل الذكاء الاصطناعي".
وكيل الذكاء الاصطناعي هو برنامج مدعوم بـ نموذج لغة كبير (LLM) — وهو نفس النوع من التقنية المستخدمة في ChatGPT — ولكنه معزز بالقدرة على استخدام الأدوات واتخاذ الإجراءات. على عكس روبوت الدردشة الذي يقوم بإنشاء نص فقط، يمكن للوكيل:
- ابحث في سجلات SIEM الخاصة بك (SIEM = معلومات الأمان وإدارة الأحداث — قاعدة بيانات السجل المركزي)
- ** عزل جهاز كمبيوتر مخترق ** من الشبكة
- قم بتشغيل أداة فحص البرامج الضارة على ملف مشبوه
- إنشاء حالة حادثة للمراجعة البشرية
- الاستعلام عن قواعد بيانات التهديدات الخارجية (قواعد البيانات التي تتعقب عناوين IP للمهاجمين المعروفين، وتوقيعات البرامج الضارة، وما إلى ذلك)
كل وكيل AuroraSOC هو وكيل ذكاء اصطناعي متخصص يعرف مجال الأمان الخاص به بعمق (لأننا نقوم بضبط LLM الأساسي على البيانات الخاصة بالمجال) ولديه حق الوصول فقط إلى الأدوات ذات الصلة بوظيفته (لأغراض الأمان - لا يمكن لمحلل البرامج الضارة عزل نقطة النهاية عن طريق الخطأ).
ماذا تعني كلمة "لامركزية".
يعمل كل وكيل كخدمة مستقلة خاصة به (عمليته الخاصة، على المنفذ الخاص به). يتواصلون مع بعضهم البعض باستخدام بروتوكول A2A (Agent-to-Agent). هذا يعنى:
- يمكن تطوير الوكلاء بشكل مستقل — إذا كنت بحاجة إلى المزيد من القدرة على تحليل البرامج الضارة، فما عليك سوى تشغيل المزيد من النسخ المتماثلة لـ Malware Analyst
- في حالة تعطل أحد العوامل، يستمر الآخرون في العمل (عزل الأخطاء)
- يمكن للوكلاء العمل على أجهزة مختلفة في الشبكة
من هو AuroraSOC؟
| جمهور | كيف يستخدمون AuroraSOC |
|---|---|
| ** فرق SOC ** | تعزيز المحللين البشريين - يتولى الذكاء الاصطناعي عملية الفرز الروتينية، ويركز البشر على الحوادث المعقدة |
| باحثون أمنيون | ادرس الذكاء الاصطناعي متعدد الوكلاء المطبق على الأمن السيبراني، وقم بتجربة الوكلاء والأدوات المخصصة |
| ** مشغلي IoT/OT** | احصل على رؤية واضحة للتهديدات السيبرانية الفعلية من خلال وكيل الأمان CPS وشهادة الأجهزة |
| المنظمات التي ليس لها SOC | احصل على إمكانيات تشبه SOC دون الاستعانة بفريق أمان كامل |
| الطلبة والمساهمون | تعرف على كيفية عمل أنظمة وكيل الذكاء الاصطناعي للإنتاج وعمليات الأمان والبنيات المستندة إلى الأحداث |
كيف تتناسب جميعها معًا – الهندسة المعمارية رفيعة المستوى
إليك كيفية توصيل كل قطعة رئيسية من AuroraSOC. يتم شرح كل مصطلح أسفل الرسم التخطيطي.
ما هي كل قطعة
| عنصر | ما هو؟ | شرح سهل باللغة الإنجليزية |
|---|---|---|
| أجهزة الحافة | الأجهزة المادية (وحدات التحكم الدقيقة) التي تقوم بتشغيل البرامج الثابتة المخصصة | وهي عبارة عن أجهزة كمبيوتر صغيرة مدمجة في الأبواب وأجهزة الاستشعار والآلات الصناعية وما إلى ذلك. وتقوم بالإبلاغ عن حالتهم الصحية والأمنية. |
| ** وسيط MQTT ** | ناقل رسائل لأجهزة IoT | "مكتب بريد" خفيف الوزن تستخدمه أجهزة IoT لإرسال واستقبال الرسائل. يستخدم mTLS (TLS المتبادل — يتحقق الجانبان من هوية بعضهما البعض من خلال الشهادات) للأمان. |
| ** المحرك الأساسي Rust ** | خدمة معالجة بيانات عالية الأداء مكتوبة بلغة Rust | يأخذ تنبيهات الأمان الأولية من العديد من التنسيقات المختلفة ويقوم بتطبيعها في تنسيق واحد ثابت. يتحقق أيضًا من عدم التلاعب بالبرامج الثابتة للجهاز IoT. مكتوب في Rust للسرعة. |
| Redis Streams | ناقل الأحداث الداخلي | قائمة انتظار رسائل سريعة تقوم بتسليم الأحداث (التنبيهات والمهام والنتائج) بين مكونات النظام. فكر في الأمر كنظام بريدي داخلي. |
| NATS JetStream | ناقل الأحداث الموزع | مثل Redis Streams، ولكنه مصمم لمشاركة البيانات عبر مواقع/مواقع متعددة. إذا كانت مؤسستك لديها SOC في نيويورك ولندن، فستقوم NATS بمزامنة بيانات التهديد فيما بينها. |
| ** وكلاء الذكاء الاصطناعي ** | برامج الذكاء الاصطناعي المتخصصة | 16 برنامجًا، كل منها مدعوم بـ LLM المضبوطة بدقة لمجال أمان محدد. يقومون بتحليل البيانات واتخاذ القرارات واتخاذ الإجراءات باستخدام الأدوات. |
| المنسق | وكيل المنسق الرئيسي | يقرأ التنبيهات الواردة، ويقرر أي المتخصصين يجب إشراكهم، ويرسل المهام، ويجمع النتائج، ويصدر التقرير النهائي. |
| ** خوادم الأدوات MCP ** | خدمات مزودي الأدوات | تعمل أدوات كل مجال كخدمات منفصلة. يتصل الوكلاء بهم باستخدام معيار MCP (بروتوكول سياق النموذج) لاستدعاء أدوات مثل "SearchLogs" أو "IsolateEndpoint". |
| PostgreSQL | قاعدة البيانات العلائقية | يخزن البيانات المنظمة: التنبيهات، وحالات التحقيق، وسجلات الجهاز، وأدلة التشغيل، وسجلات التدقيق. |
| Qdrant | قاعدة بيانات المتجهات | يقوم بتخزين التضمينات (التمثيلات الرقمية للنص) حتى يتمكن الوكلاء من البحث الدلالي في التحقيقات السابقة - "العثور على حالات مشابهة لهذا التنبيه". |
| Redis | ذاكرة التخزين المؤقت ومحدد المعدل | يخزن البيانات التي يتم الوصول إليها بشكل متكرر (مثل عمليات البحث عن التهديدات) في الذاكرة لاسترجاعها بسرعة. يفرض أيضًا حدود معدل API. |
| الواجهة الخلفية FastAPI | الخادم REST API | تطبيق الواجهة الخلفية الذي تتحدث إليه لوحة المعلومات والأدوات الخارجية. تم تصميمه باستخدام FastAPI (إطار عمل الويب Python). يعرض نقاط نهاية REST واتصالات WebSocket. |
| لوحة التحكم Next.js | واجهة المستخدم المستندة إلى المتصفح | تطبيق ويب حيث يرى المحللون البشريون التنبيهات، ويتتبعون الحالات، ويراقبون الوكلاء، ويوافقون على توصيات الذكاء الاصطناعي أو يرفضونها. |
قرارات التصميم الرئيسية
هذه هي الاختيارات المعمارية المتعمدة التي تشكل AuroraSOC. يساعدك فهمها على فهم سبب تنظيم الكود بهذه الطريقة.
1. إطار عمل BeeAI، وليس LangChain/LangGraph
يستخدم AuroraSOC IBM BeeAI Agent Framework (الوثائق) — وليس LangChain أو LangGraph، والتي يتم مشاهدتها بشكل أكثر شيوعًا في مشاريع LLM. لماذا؟
- ACP (بروتوكول اتصال الوكيل): يوفر BeeAI بروتوكولًا موحدًا للوكلاء للتواصل، مما يتيح البنية اللامركزية متعددة الوكلاء
- MCP (بروتوكول سياق النموذج): معيار لربط الوكلاء بالأدوات، مما يضمن وصول كل وكيل إلى الأدوات المعتمدة فقط
- RequirementAgent: فئة وكيل BeeAI التي تفرض قواعد مثل "استخدم ThinkTool أولاً دائمًا" - مما يمنحنا تفكيرًا منظمًا وقابلاً للتدقيق
- درجة الإنتاج: التعامل مع الإشارة، وإيقاف التشغيل بسلاسة، وفحوصات السلامة المضمنة
2. نماذج IBM Granite، وليس GPT/Claude
LLM الذي يقوم بتشغيل كل وكيل هو IBM Granite 4 (الوثائق) — وهو نموذج مفتوح المصدر من IBM. لماذا؟
- مفتوح المصدر: يمكنك تشغيله محليًا بدون أي مفاتيح API أو تبعيات سحابية. السيادة الكاملة للبيانات.
- قابلية الضبط: نقوم بضبط Granite خصيصًا للعمليات الأمنية باستخدام مجموعات البيانات الخاصة بالمجال (MITRE ATT&CK، وقواعد Sigma، وبيانات CVE)
- فعال: يمكن تشغيله على وحدات معالجة الرسومات الاستهلاكية مع تكميم 4 بت عبر Unsloth
- التخصص لكل وكيل: يمكن أن يكون لكل وكيل متغير نموذج خاص به، مما يجعل محلل البرامج الضارة أفضل في تحليل البرامج الضارة مقارنة بالنموذج العام
3. Redis Streams + NATS، وليس كافكا
تستخدم العديد من الأنظمة التي تعتمد على الأحداث Apache Kafka. يستخدم AuroraSOC Redis Streams (للأحداث الداخلية) وNATS JetStream (للتوزيع عبر المواقع). لماذا؟
- Redis Streams: يتم استخدام Redis بالفعل لذاكرة التخزين المؤقت، لذلك لا توجد بنية تحتية إضافية. زمن الوصول أقل من ميلي ثانية للخدمات المشتركة. مجموعات المستهلكين لموازنة التحميل.
- NATS JetStream: خفيف الوزن، ومستمر (يستمر في إعادة التشغيل)، ويتم التسليم مرة واحدة بالضبط. مثالي لتوحيد البيانات عبر مواقع SOC المتعددة.
- ** معًا **: يتعامل Redis مع خط الأنابيب الداخلي السريع؛ يتعامل NATS مع خط الأنابيب المتين والموزع. أداتان، تستخدم كل منهما حيث تتفوق.
4. الإنسان في الحلقة بشكل افتراضي
لا تتخذ AuroraSOC أبدًا إجراءات عالية المخاطر بشكل مستقل. إذا أراد دليل التشغيل عزل خادم إنتاج أو إلغاء شهادة، فإنه ينشئ طلب موافقة بشرية (مع انتهاء صلاحية مدتها 4 ساعات) وينتظر. يجب على المحلل البشري الموافقة أو الرفض قبل تنفيذ الإجراء. يساعد الذكاء الاصطناعي – البشر هم من يقررون.
5. الثقة ذات الجذور الصلبة لـ IoT/CPS
لا يقوم وكيل الأمان CPS (الأنظمة السيبرانية المادية) بمراقبة حركة مرور الشبكة فقط. فهو يتحقق من سلامة البرامج الثابتة للأجهزة المادية باستخدام شهادة الأجهزة — شهادات التشفير التي تم إنشاؤها بواسطة أجهزة الجهاز نفسها، والتي تم التحقق منها باستخدام توقيعات ECDSA P-256. إذا تم التلاعب بالبرنامج الثابت للجهاز، فإن AuroraSOC يكتشف ذلك على مستوى الأجهزة.
ملخص
AuroraSOC هو نظام ذكاء اصطناعي متعدد الوكلاء يعمل على أتمتة العمليات الأمنية. ويستخدم 16 وكيلًا متخصصًا للذكاء الاصطناعي مدعومًا بواسطة IBM Granite LLMs، بتنسيق منسق، ومتصل بأدوات الأمان عبر MCP، وبث الأحداث من خلال Redis وNATS، مع لوحة معلومات Next.js للمشغلين البشريين. فهو يدمج بشكل فريد أمان الأجهزة لأجهزة IoT/CPS ويفرض الموافقة البشرية على جميع الإجراءات عالية المخاطر.
التالي: مجموعة التكنولوجيا → — نظرة متعمقة على كل تقنية مستخدمة وسبب استخدامها.