Open-Source-KI-Sicherheitsautomation und SOAR-Plattform mit visuellem Workflow-Builder, 80+ Integrationen und autonomen Threat-Response-Agenten.
Installation
Quick Start (Entwicklung)
# Repository klonen
git clone https://github.com/digitranslab/allama.git
cd allama
# Projekt initialisieren
make init
# Entwicklungsumgebung starten
make dev
Demo-Umgebung
# One-Command-Demo-Deployment
./demo.sh
Docker Compose (Produktion)
# Produktions-Deployment
docker-compose up -d
# Entwicklungsumgebung
docker-compose -f docker-compose.dev.yml up -d
# Lokales Testen
docker-compose -f docker-compose.local.yml up -d
# Logs anzeigen
docker-compose logs -f
# Alle Services stoppen
docker-compose down
Systemanforderungen
| Anforderung | Minimum |
|---|
| Python | 3.12+ |
| Docker | Neueste stabile Version |
| RAM | 4 GB |
| Disk Space | 10 GB |
Grundlegende Befehle
| Befehl | Beschreibung |
|---|
make init | Projekt initialisieren und Abhängigkeiten installieren |
make dev | Entwicklungsserver starten |
make test | Test Suite ausführen |
make lint | Code Linting ausführen |
docker-compose up -d | Produktions-Deployment starten |
docker-compose down | Alle Services stoppen |
docker-compose logs -f | Service-Logs folgen |
./demo.sh | Demo-Umgebung starten |
Technology Stack
| Komponente | Technologie |
|---|
| API Server | FastAPI (Python) |
| Workflow Engine | Temporal |
| AI Agents | PydanticAI + LiteLLM |
| Database | PostgreSQL |
| Object Storage | S3-kompatibel |
| Script Sandbox | WebAssembly (Wasm) |
| Frontend | React |
Integrationen (80+)
| Integration | Beschreibung |
|---|
| Splunk | Log Ingestion, Search Queries, Alert Correlation |
| Elastic SIEM | Elasticsearch Queries, Kibana Dashboards |
| Datadog | Metrics, Logs, und Security Signals |
| Wazuh | Host-basierte Intrusion Detection, Compliance |
| QRadar | IBM Security Intelligence Platform |
| Microsoft Sentinel | Cloud-native SIEM und SOAR |
EDR/XDR-Lösungen
| Integration | Beschreibung |
|---|
| CrowdStrike Falcon | Endpoint Detection and Response |
| SentinelOne | Autonomous Endpoint Security |
| Carbon Black | VMware Endpoint Protection |
| Microsoft Defender | Endpoint und Identity Protection |
| Cortex XDR | Palo Alto Extended Detection |
Identity Provider
| Integration | Beschreibung |
|---|
| Okta | Identity and Access Management |
| Microsoft Entra ID | Azure Active Directory |
| Google Workspace | User und Device Management |
| OneLogin | Single Sign-On und Directory |
Ticketing-Systeme
| Integration | Beschreibung |
|---|
| Jira | Issue Tracking und Project Management |
| ServiceNow | IT Service Management |
| PagerDuty | Incident Management und Alerting |
| Opsgenie | Alert und On-Call Management |
Kommunikation
| Integration | Beschreibung |
|---|
| Slack | Channel Notifications und Bot Commands |
| Microsoft Teams | Adaptive Cards und Webhooks |
| Email (SMTP) | Alert Notifications und Reports |
| Telegram | Bot-basierte Notifications |
Threat Intelligence
| Integration | Beschreibung |
|---|
| VirusTotal | File und URL Analysis |
| AbuseIPDB | IP Reputation Checking |
| Shodan | Internet-facing Asset Discovery |
| AlienVault OTX | Open Threat Exchange Feeds |
| MISP | Threat Intelligence Sharing |
| Integration | Beschreibung |
|---|
| AWS | CloudTrail, GuardDuty, Security Hub |
| Azure | Sentinel, Defender, Activity Logs |
| GCP | Security Command Center, Cloud Audit |
Workflow Builder
Workflow-Komponenten
| Komponente | Beschreibung |
|---|
| Trigger | Event, das den Workflow startet (Webhook, Schedule, Alert) |
| Action | Integration Call (SIEM abfragen, IP blockieren, Ticket erstellen) |
| Condition | If/else Branching basierend auf Datenwerten |
| Loop | Iteration über Listen (IP-Adressen, Benutzer, Alerts) |
| Parallel | Mehrere Branches gleichzeitig ausführen |
| Delay | Warten auf spezifische Dauer, bevor fortgesetzt wird |
| Script | Custom Python Code in WebAssembly Sandbox |
| AI Agent | LLM-gesteuerte Entscheidungsfindung und Analyse |
Trigger-Typen
| Trigger | Beschreibung |
|---|
| Webhook | HTTP Endpoint für External Event Ingestion |
| Schedule | Cron-basierte periodische Ausführung |
| Alert | SIEM/EDR Alert Correlation |
| Manual | On-Demand Ausführung von UI |
| Email | Inbound Email Parsing |
AI Agent Konfiguration
Unterstützte LLM-Provider
| Provider | Konfiguration |
|---|
| OpenAI | API key + Model Selection (GPT-4, GPT-4o) |
| Anthropic | API key + Model Selection (Claude Sonnet, Opus) |
| Azure OpenAI | Endpoint + Deployment Name |
| Ollama | Self-hosted, Local Endpoint (llama3, mistral) |
| Google Gemini | API key + Model Selection |
Agent Fähigkeiten
| Fähigkeit | Beschreibung |
|---|
| Threat Analysis | Indicators of Compromise und Alert Context analysieren |
| Decision Making | Response Actions basierend auf Severity und Context bestimmen |
| Enrichment | Daten über mehrere Intelligence-Quellen korrelieren |
| Summarization | Incident Summaries für Human Review generieren |
| Playbook Selection | Passenden Response Workflow basierend auf Alert Type wählen |
Case Management
| Feature | Beschreibung |
|---|
| Custom Fields | Case-spezifische Metadata Fields definieren |
| Task Assignment | Investigationaufgaben zu Team-Mitgliedern zuweisen |
| Attachments | Evidence Files und Screenshots hochladen |
| Audit Trail | Komplette History von Case Actions und Changes |
| SLA Tracking | Response und Resolution Time Targets monitoren |
| Escalation Rules | Auto-Escalate basierend auf Severity und Time Thresholds |
Security Features
| Feature | Beschreibung |
|---|
| Authentication | Basic, Google OAuth, SAML 2.0 (Okta, Entra ID) |
| Authorization | Role-based Access Control (RBAC) |
| Workspace Isolation | Multi-Tenant Workspace Separation |
| Secret Encryption | AES-256 Encryption mit Automatic Injection |
| Audit Logging | Komplette Access und Execution History |
| Script Sandboxing | WebAssembly Isolation mit Network Restrictions |
| Resource Limits | CPU und Memory Constraints für Script Execution |
Häufige Workflow-Muster
Phishing Email Triage
Trigger: Email erhalten →
AI Agent: Headers und Content analysieren →
Condition: Malicious? →
Yes: Sender blockieren + Ticket erstellen + SOC benachrichtigen
No: Log und schließen
Verdächtiger Login Response
Trigger: SIEM Alert (Unmögliche Reise) →
Enrichment: User History + Geo IP überprüfen →
AI Agent: Risk Level bewerten →
Condition: High Risk? →
Yes: Konto deaktivieren + On-Call pagen + Case erstellen
No: Watchlist hinzufügen + Event loggen
Malware Detection Response
Trigger: EDR Alert (Malware erkannt) →
Action: Endpoint isolieren →
Enrichment: VirusTotal Hash Lookup →
Action: Jira Ticket erstellen →
Action: Slack Channel benachrichtigen →
AI Agent: Incident Summary generieren
API Endpoints
| Endpoint | Method | Beschreibung |
|---|
/api/v1/workflows | GET | Alle Workflows auflisten |
/api/v1/workflows | POST | Neuen Workflow erstellen |
/api/v1/workflows/{id}/run | POST | Workflow ausführen |
/api/v1/cases | GET | Cases auflisten |
/api/v1/cases | POST | Neuen Case erstellen |
/api/v1/integrations | GET | Konfigurierte Integrationen auflisten |
/api/v1/agents | GET | AI Agents auflisten |
/api/v1/webhooks | POST | External Events empfangen |
Best Practices
- Mit vorgefertigten Workflow-Templates beginnen, bevor Custom Workflows erstellt werden
- AI Agent initial im “supervised” Modus verwenden — Entscheidungen überprüfen, bevor autonome Response aktiviert wird
- Role-based Access konfigurieren, um zu begrenzen, wer Production Workflows ändern kann
- Workflows in der Entwicklungsumgebung testen, bevor Sie in Production deployment
- Secrets mit dem integrierten Encrypted Secret Manager speichern, nicht mit Environment Variables
- SLA Tracking für Compliance-Anforderungen (SOC 2, ISO 27001) einrichten
- Parallel Execution Branches verwenden, um Enrichment Queries zu beschleunigen
- Audit Logging für alle Workflow-Ausführungen aktivieren
