Plataforma SOAR de automatización de seguridad impulsada por IA de código abierto con generador visual de flujos de trabajo, 80+ integraciones y agentes de respuesta a amenazas autónomos.
Instalación
Inicio rápido (Desarrollo)
# Clonar el repositorio
git clone https://github.com/digitranslab/allama.git
cd allama
# Inicializar el proyecto
make init
# Iniciar entorno de desarrollo
make dev
Entorno de demostración
# Implementación de demostración de un solo comando
./demo.sh
Docker Compose (Producción)
# Implementación de producción
docker-compose up -d
# Entorno de desarrollo
docker-compose -f docker-compose.dev.yml up -d
# Pruebas locales
docker-compose -f docker-compose.local.yml up -d
# Ver logs
docker-compose logs -f
# Detener todos los servicios
docker-compose down
Requisitos del sistema
| Requisito | Mínimo |
|---|
| Python | 3.12+ |
| Docker | Última estable |
| RAM | 4 GB |
| Espacio en disco | 10 GB |
Comandos básicos
| Comando | Descripción |
|---|
make init | Inicializar proyecto e instalar dependencias |
make dev | Iniciar servidor de desarrollo |
make test | Ejecutar suite de pruebas |
make lint | Ejecutar linting de código |
docker-compose up -d | Iniciar implementación de producción |
docker-compose down | Detener todos los servicios |
docker-compose logs -f | Seguir logs de servicios |
./demo.sh | Lanzar entorno de demostración |
Stack de tecnología
| Componente | Tecnología |
|---|
| Servidor API | FastAPI (Python) |
| Motor de flujos de trabajo | Temporal |
| Agentes IA | PydanticAI + LiteLLM |
| Base de datos | PostgreSQL |
| Almacenamiento de objetos | Compatible con S3 |
| Sandbox de scripts | WebAssembly (Wasm) |
| Frontend | React |
Integraciones (80+)
| Integración | Descripción |
|---|
| Splunk | Ingesta de logs, consultas de búsqueda, correlación de alertas |
| Elastic SIEM | Consultas Elasticsearch, dashboards Kibana |
| Datadog | Métricas, logs y señales de seguridad |
| Wazuh | Detección de intrusiones basada en host, cumplimiento |
| QRadar | Plataforma de inteligencia de seguridad IBM |
| Microsoft Sentinel | SIEM y SOAR nativos de nube |
Soluciones EDR/XDR
| Integración | Descripción |
|---|
| CrowdStrike Falcon | Detección y respuesta de endpoints |
| SentinelOne | Seguridad de endpoints autónoma |
| Carbon Black | Protección de endpoints VMware |
| Microsoft Defender | Protección de endpoints e identidad |
| Cortex XDR | Detección extendida Palo Alto |
Proveedores de identidad
| Integración | Descripción |
|---|
| Okta | Gestión de identidad y acceso |
| Microsoft Entra ID | Azure Active Directory |
| Google Workspace | Gestión de usuarios y dispositivos |
| OneLogin | Single sign-on y directorio |
Sistemas de tickets
| Integración | Descripción |
|---|
| Jira | Seguimiento de problemas y gestión de proyectos |
| ServiceNow | Gestión de servicios IT |
| PagerDuty | Gestión de incidentes y alertas |
| Opsgenie | Gestión de alertas y on-call |
Comunicación
| Integración | Descripción |
|---|
| Slack | Notificaciones de canales y comandos de bot |
| Microsoft Teams | Tarjetas adaptables y webhooks |
| Email (SMTP) | Notificaciones de alertas e informes |
| Telegram | Notificaciones basadas en bot |
Inteligencia de amenazas
| Integración | Descripción |
|---|
| VirusTotal | Análisis de archivos y URLs |
| AbuseIPDB | Verificación de reputación de IP |
| Shodan | Descubrimiento de activos orientados a internet |
| AlienVault OTX | Feeds de intercambio de amenazas abierto |
| MISP | Intercambio de inteligencia de amenazas |
| Integración | Descripción |
|---|
| AWS | CloudTrail, GuardDuty, Security Hub |
| Azure | Sentinel, Defender, Activity Logs |
| GCP | Security Command Center, Cloud Audit |
Generador de flujos de trabajo
Componentes de flujo de trabajo
| Componente | Descripción |
|---|
| Trigger | Evento que inicia el flujo de trabajo (webhook, horario, alerta) |
| Action | Llamada de integración (consultar SIEM, bloquear IP, crear ticket) |
| Condition | Ramificación if/else basada en valores de datos |
| Loop | Iterar sobre listas (direcciones IP, usuarios, alertas) |
| Parallel | Ejecutar múltiples ramas simultáneamente |
| Delay | Esperar duración especificada antes de continuar |
| Script | Código Python personalizado en sandbox WebAssembly |
| AI Agent | Toma de decisiones impulsada por LLM y análisis |
Tipos de trigger
| Trigger | Descripción |
|---|
| Webhook | Punto final HTTP para ingesta de eventos externos |
| Schedule | Ejecución periódica basada en cron |
| Alert | Correlación de alertas SIEM/EDR |
| Manual | Ejecución bajo demanda desde UI |
| Email | Análisis de correo electrónico entrante |
Configuración de agentes IA
Proveedores de LLM soportados
| Proveedor | Configuración |
|---|
| OpenAI | Clave API + selección de modelo (GPT-4, GPT-4o) |
| Anthropic | Clave API + selección de modelo (Claude Sonnet, Opus) |
| Azure OpenAI | Endpoint + nombre de implementación |
| Ollama | Autohospedado, endpoint local (llama3, mistral) |
| Google Gemini | Clave API + selección de modelo |
Capacidades de agentes
| Capacidad | Descripción |
|---|
| Análisis de amenazas | Analizar indicadores de compromiso y contexto de alerta |
| Toma de decisiones | Determinar acciones de respuesta basadas en severidad y contexto |
| Enriquecimiento | Correlacionar datos entre múltiples fuentes de inteligencia |
| Resumen | Generar resúmenes de incidentes para revisión humana |
| Selección de playbook | Elegir flujo de trabajo de respuesta apropiado basado en tipo de alerta |
Gestión de casos
| Característica | Descripción |
|---|
| Campos personalizados | Definir campos de metadatos específicos del caso |
| Asignación de tareas | Asignar tareas de investigación a miembros del equipo |
| Adjuntos | Cargar archivos de evidencia y capturas de pantalla |
| Registro de auditoría | Historial completo de acciones y cambios del caso |
| Seguimiento de SLA | Monitorear objetivos de tiempo de respuesta y resolución |
| Reglas de escalación | Auto-escalada basada en severidad y umbrales de tiempo |
Características de seguridad
| Característica | Descripción |
|---|
| Autenticación | Básica, Google OAuth, SAML 2.0 (Okta, Entra ID) |
| Autorización | Control de acceso basado en roles (RBAC) |
| Aislamiento de workspace | Separación de workspaces multi-tenant |
| Encriptación de secretos | Encriptación AES-256 con inyección automática |
| Registro de auditoría | Historial completo de acceso y ejecución |
| Sandbox de scripts | Aislamiento WebAssembly con restricciones de red |
| Límites de recursos | Restricciones de CPU y memoria para ejecución de scripts |
Patrones comunes de flujo de trabajo
Triaje de correo de phishing
Trigger: Email recibido →
Agente IA: Analizar encabezados y contenido →
Condition: ¿Malicioso? →
Sí: Bloquear remitente + Crear ticket + Notificar SOC
No: Registrar y cerrar
Respuesta a login sospechoso
Trigger: Alerta SIEM (viaje imposible) →
Enriquecimiento: Verificar historial de usuario + Geo IP →
Agente IA: Evaluar nivel de riesgo →
Condition: ¿Riesgo alto? →
Sí: Deshabilitar cuenta + Alertar on-call + Crear caso
No: Agregar a lista de vigilancia + Registrar evento
Respuesta a detección de malware
Trigger: Alerta EDR (malware detectado) →
Action: Aislar endpoint →
Enriquecimiento: Búsqueda de hash VirusTotal →
Action: Crear ticket Jira →
Action: Notificar canal Slack →
Agente IA: Generar resumen de incidente
Endpoints de API
| Endpoint | Método | Descripción |
|---|
/api/v1/workflows | GET | Listar todos los flujos de trabajo |
/api/v1/workflows | POST | Crear nuevo flujo de trabajo |
/api/v1/workflows/{id}/run | POST | Ejecutar un flujo de trabajo |
/api/v1/cases | GET | Listar casos |
/api/v1/cases | POST | Crear nuevo caso |
/api/v1/integrations | GET | Listar integraciones configuradas |
/api/v1/agents | GET | Listar agentes IA |
/api/v1/webhooks | POST | Recibir eventos externos |
Mejores prácticas
- Comenzar con plantillas de flujo de trabajo precompiladas antes de construir personalizadas
- Usar el agente IA en modo “supervisado” inicialmente — revisar decisiones antes de habilitar respuesta autónoma
- Configurar acceso basado en roles para limitar quién puede modificar flujos de trabajo de producción
- Probar flujos de trabajo en entorno de desarrollo antes de implementar en producción
- Almacenar secretos usando el gestor de secretos encriptados integrado, no variables de entorno
- Configurar seguimiento de SLA para requisitos de cumplimiento (SOC 2, ISO 27001)
- Usar ramas de ejecución paralela para acelerar consultas de enriquecimiento
- Habilitar registro de auditoría para todas las ejecuciones de flujos de trabajo
