منصة SOAR للأتمتة الأمنية والتحكم الآلي للحوادث مفتوحة المصدر تعتمد على الذكاء الاصطناعي مع منشئ سير عمل بصري و 80+ عملية تكامل ووكلاء استجابة تهديدات مستقلة.
# استنساخ المستودع
git clone https://github.com/digitranslab/allama.git
cd allama
# تهيئة المشروع
make init
# بدء بيئة التطوير
make dev
# نشر العرض التوضيحي بأمر واحد
./demo.sh
# نشر الإنتاج
docker-compose up -d
# بيئة التطوير
docker-compose -f docker-compose.dev.yml up -d
# الاختبار المحلي
docker-compose -f docker-compose.local.yml up -d
# عرض السجلات
docker-compose logs -f
# إيقاف جميع الخدمات
docker-compose down
| المتطلب | الحد الأدنى |
|---|
| Python | 3.12+ |
| Docker | آخر استقرار |
| RAM | 4 GB |
| Disk Space | 10 GB |
| الأمر | الوصف |
|---|
make init | تهيئة المشروع وتثبيت المتطلبات |
make dev | بدء خادم التطوير |
make test | تشغيل مجموعة الاختبارات |
make lint | تشغيل فحص الكود |
docker-compose up -d | بدء نشر الإنتاج |
docker-compose down | إيقاف جميع الخدمات |
docker-compose logs -f | متابعة سجلات الخدمة |
./demo.sh | إطلاق بيئة العرض التوضيحي |
| المكون | التكنولوجيا |
|---|
| خادم API | FastAPI (Python) |
| محرك سير العمل | Temporal |
| وكلاء الذكاء الاصطناعي | PydanticAI + LiteLLM |
| قاعدة البيانات | PostgreSQL |
| تخزين الكائنات | S3-compatible |
| صندوق البرامج النصية | WebAssembly (Wasm) |
| الواجهة الأمامية | React |
| التكامل | الوصف |
|---|
| Splunk | بلع السجلات، الاستعلامات البحثية، ارتباط التنبيهات |
| Elastic SIEM | استعلامات Elasticsearch، لوحات معلومات Kibana |
| Datadog | المقاييس والسجلات وإشارات الأمان |
| Wazuh | كشف الاختراق المستند إلى المضيف، الامتثال |
| QRadar | منصة ذكاء الأمان من IBM |
| Microsoft Sentinel | SIEM و SOAR السحابي الأصلي |
| التكامل | الوصف |
|---|
| CrowdStrike Falcon | كشف الحوادث على نقطة النهاية والاستجابة لها |
| SentinelOne | أمان نقطة النهاية المستقل |
| Carbon Black | حماية نقطة النهاية من VMware |
| Microsoft Defender | حماية نقطة النهاية والهوية |
| Cortex XDR | كشف وتحديد Palo Alto المتقدم |
| التكامل | الوصف |
|---|
| Okta | إدارة الهوية والوصول |
| Microsoft Entra ID | Azure Active Directory |
| Google Workspace | إدارة المستخدم والجهاز |
| OneLogin | تسجيل الدخول الموحد والدليل |
| التكامل | الوصف |
|---|
| Jira | تتبع المشاكل وإدارة المشاريع |
| ServiceNow | إدارة خدمات تكنولوجيا المعلومات |
| PagerDuty | إدارة الحوادث والتنبيهات |
| Opsgenie | إدارة التنبيهات والاستدعاء |
| التكامل | الوصف |
|---|
| Slack | إشعارات القنوات وأوامر البوت |
| Microsoft Teams | البطاقات التكيفية والخطافات |
| Email (SMTP) | إشعارات التنبيهات والتقارير |
| Telegram | إخطارات قائمة على البوت |
| التكامل | الوصف |
|---|
| VirusTotal | تحليل الملفات والعناوين |
| AbuseIPDB | فحص سمعة IP |
| Shodan | اكتشاف الأصول المواجهة للإنترنت |
| AlienVault OTX | فتح مصادر بيانات التهديدات |
| MISP | مشاركة استخبارات التهديدات |
| التكامل | الوصف |
|---|
| AWS | CloudTrail، GuardDuty، Security Hub |
| Azure | Sentinel، Defender، سجلات النشاط |
| GCP | مركز القيادة الأمني، Cloud Audit |
| المكون | الوصف |
|---|
| Trigger | الحدث الذي يبدأ سير العمل (webhook، جدول زمني، تنبيه) |
| Action | استدعاء التكامل (الاستعلام عن SIEM، حظر IP، إنشاء تذكرة) |
| Condition | فرع If/else بناءً على قيم البيانات |
| Loop | التكرار على القوائم (عناوين IP والمستخدمين والتنبيهات) |
| Parallel | تشغيل عدة فروع في وقت واحد |
| Delay | الانتظار لمدة محددة قبل المتابعة |
| Script | رمز Python مخصص في صندوق عزل WebAssembly |
| AI Agent | اتخاذ القرار والتحليل المدعوم بـ LLM |
| المشغل | الوصف |
|---|
| Webhook | نقطة نهاية HTTP لبلع الأحداث الخارجية |
| Schedule | تنفيذ دوري قائم على Cron |
| Alert | ارتباط تنبيه SIEM/EDR |
| Manual | التنفيذ عند الطلب من واجهة المستخدم |
| Email | تحليل البريد الإلكتروني الوارد |
| الموفر | التكوين |
|---|
| OpenAI | مفتاح API + اختيار النموذج (GPT-4، GPT-4o) |
| Anthropic | مفتاح API + اختيار النموذج (Claude Sonnet، Opus) |
| Azure OpenAI | نقطة نهاية + اسم النشر |
| Ollama | استضافة ذاتية، نقطة نهاية محلية (llama3، mistral) |
| Google Gemini | مفتاح API + اختيار النموذج |
| القدرة | الوصف |
|---|
| Threat Analysis | تحليل مؤشرات الاختراق وسياق التنبيه |
| Decision Making | تحديد إجراءات الاستجابة بناءً على الخطورة والسياق |
| Enrichment | ارتباط البيانات عبر عدة مصادر استخبارات |
| Summarization | إنشاء ملخصات الحوادث لمراجعة الإنسان |
| Playbook Selection | اختيار سير عمل الاستجابة المناسب بناءً على نوع التنبيه |
| الميزة | الوصف |
|---|
| Custom Fields | تحديد حقول البيانات الوصفية الخاصة بالحالة |
| Task Assignment | تعيين مهام التحقيق لأعضاء الفريق |
| Attachments | تحميل ملفات الأدلة والعمليات الحسابية |
| Audit Trail | السجل الكامل لإجراءات وتغييرات الحالة |
| SLA Tracking | مراقبة أهداف وقت الاستجابة والحل |
| Escalation Rules | التصعيد التلقائي بناءً على عتبات الخطورة والوقت |
| الميزة | الوصف |
|---|
| Authentication | أساسي، Google OAuth، SAML 2.0 (Okta، Entra ID) |
| Authorization | التحكم في الوصول المستند إلى الدور (RBAC) |
| Workspace Isolation | عزل مساحة العمل متعدد المستأجرين |
| Secret Encryption | تشفير AES-256 مع الحقن التلقائي |
| Audit Logging | الوصول الكامل وسجل تاريخ التنفيذ |
| Script Sandboxing | عزل WebAssembly مع قيود الشبكة |
| Resource Limits | قيود CPU والذاكرة لتنفيذ النصوص |
المشغل: تم استقبال البريد الإلكتروني →
وكيل الذكاء الاصطناعي: تحليل الرؤوس والمحتوى →
الشرط: خطر؟ →
نعم: حظر المرسل + إنشاء تذكرة + إخطار SOC
لا: تسجيل وإغلاق
المشغل: تنبيه SIEM (السفر المستحيل) →
الإثراء: تحقق من سجل المستخدم + Geo IP →
وكيل الذكاء الاصطناعي: تقييم مستوى المخاطر →
الشرط: خطر عالي؟ →
نعم: تعطيل الحساب + استدعاء في الموقع + إنشاء حالة
لا: أضف إلى قائمة المراقبة + تسجيل الحدث
المشغل: تنبيه EDR (تم الكشف عن برنامج ضار) →
الإجراء: عزل نقطة النهاية →
الإثراء: بحث hash VirusTotal →
الإجراء: إنشاء تذكرة Jira →
الإجراء: إخطار قناة Slack →
وكيل الذكاء الاصطناعي: إنشاء ملخص الحادثة
| نقطة النهاية | الطريقة | الوصف |
|---|
/api/v1/workflows | GET | قائمة جميع سير العمل |
/api/v1/workflows | POST | إنشاء سير عمل جديد |
/api/v1/workflows/{id}/run | POST | تنفيذ سير عمل |
/api/v1/cases | GET | قائمة الحالات |
/api/v1/cases | POST | إنشاء حالة جديدة |
/api/v1/integrations | GET | قائمة التكاملات المكونة |
/api/v1/agents | GET | قائمة وكلاء الذكاء الاصطناعي |
/api/v1/webhooks | POST | استقبال الأحداث الخارجية |
- ابدأ بقوالب سير العمل المُنشأة مسبقًا قبل بناء قوالب مخصصة
- استخدم وكيل الذكاء الاصطناعي في وضع “خاضع للإشراف” في البداية — راجع القرارات قبل تفعيل الاستجابة المستقلة
- قم بتكوين الوصول المستند إلى الدور لتحديد من يمكنه تعديل سير عمل الإنتاج
- اختبر سير العمل في بيئة التطوير قبل النشر في الإنتاج
- قم بتخزين الأسرار باستخدام مدير الأسرار المشفر المدمج، وليس متغيرات البيئة
- قم بإعداد تتبع SLA للامتثال للمتطلبات (SOC 2، ISO 27001)
- استخدم فروع التنفيذ المتوازية لتسريع استعلامات الإثراء
- تفعيل تسجيل التدقيق لجميع عمليات تنفيذ سير العمل
