Piattaforma open-source AI di automazione della sicurezza e SOAR con builder di flussi di lavoro visivi, 80+ integrazioni e agenti di risposta alle minacce autonomi.
# Clonare il repository
git clone https://github.com/digitranslab/allama.git
cd allama
# Inizializzare il progetto
make init
# Avviare l'ambiente di sviluppo
make dev
# Distribuzione demo con un singolo comando
./demo.sh
# Distribuzione di produzione
docker-compose up -d
# Ambiente di sviluppo
docker-compose -f docker-compose.dev.yml up -d
# Test locali
docker-compose -f docker-compose.local.yml up -d
# Visualizzare i log
docker-compose logs -f
# Interrompere tutti i servizi
docker-compose down
| Requirement | Minimum |
|---|
| Python | 3.12+ |
| Docker | Latest stable |
| RAM | 4 GB |
| Disk Space | 10 GB |
| Command | Description |
|---|
make init | Inizializzare il progetto e installare le dipendenze |
make dev | Avviare il server di sviluppo |
make test | Eseguire la suite di test |
make lint | Eseguire il linting del codice |
docker-compose up -d | Avviare la distribuzione di produzione |
docker-compose down | Interrompere tutti i servizi |
docker-compose logs -f | Seguire i log dei servizi |
./demo.sh | Lanciare l’ambiente demo |
| Component | Technology |
|---|
| API Server | FastAPI (Python) |
| Workflow Engine | Temporal |
| AI Agents | PydanticAI + LiteLLM |
| Database | PostgreSQL |
| Object Storage | S3-compatible |
| Script Sandbox | WebAssembly (Wasm) |
| Frontend | React |
| Integration | Description |
|---|
| Splunk | Ingestion dei log, query di ricerca, correlazione degli avvisi |
| Elastic SIEM | Query Elasticsearch, dashboard Kibana |
| Datadog | Metriche, log e segnali di sicurezza |
| Wazuh | Rilevamento di intrusioni basato su host, conformità |
| QRadar | Piattaforma di intelligence sulla sicurezza IBM |
| Microsoft Sentinel | SIEM e SOAR cloud-native |
| Integration | Description |
|---|
| CrowdStrike Falcon | Rilevamento e risposta degli endpoint |
| SentinelOne | Sicurezza autonoma degli endpoint |
| Carbon Black | Protezione degli endpoint VMware |
| Microsoft Defender | Protezione degli endpoint e identità |
| Cortex XDR | Rilevamento esteso Palo Alto |
| Integration | Description |
|---|
| Okta | Gestione dell’identità e dell’accesso |
| Microsoft Entra ID | Azure Active Directory |
| Google Workspace | Gestione di utenti e dispositivi |
| OneLogin | Single sign-on e directory |
| Integration | Description |
|---|
| Jira | Tracciamento dei problemi e gestione dei progetti |
| ServiceNow | Gestione dei servizi IT |
| PagerDuty | Gestione degli incidenti e avvisi |
| Opsgenie | Gestione degli avvisi e on-call |
| Integration | Description |
|---|
| Slack | Notifiche dei canali e comandi bot |
| Microsoft Teams | Schede adattive e webhook |
| Email (SMTP) | Notifiche degli avvisi e report |
| Telegram | Notifiche basate su bot |
| Integration | Description |
|---|
| VirusTotal | Analisi di file e URL |
| AbuseIPDB | Controllo della reputazione IP |
| Shodan | Scoperta di asset rivolti a Internet |
| AlienVault OTX | Feed di scambio di minacce aperte |
| MISP | Condivisione di intelligence sulle minacce |
| Integration | Description |
|---|
| AWS | CloudTrail, GuardDuty, Security Hub |
| Azure | Sentinel, Defender, Activity Logs |
| GCP | Security Command Center, Cloud Audit |
| Component | Description |
|---|
| Trigger | Evento che avvia il flusso di lavoro (webhook, programma, avviso) |
| Action | Chiamata di integrazione (query SIEM, blocca IP, crea ticket) |
| Condition | Branching if/else basato su valori dei dati |
| Loop | Iterare su elenchi (indirizzi IP, utenti, avvisi) |
| Parallel | Eseguire più rami simultaneamente |
| Delay | Attendere una durata specificata prima di continuare |
| Script | Codice Python personalizzato in sandbox WebAssembly |
| AI Agent | Decisioni e analisi alimentate da LLM |
| Trigger | Description |
|---|
| Webhook | Endpoint HTTP per l’ingestion degli eventi esterni |
| Schedule | Esecuzione periodica basata su Cron |
| Alert | Correlazione degli avvisi SIEM/EDR |
| Manual | Esecuzione su richiesta dall’interfaccia utente |
| Email | Analisi della posta elettronica in ingresso |
| Provider | Configuration |
|---|
| OpenAI | Chiave API + selezione del modello (GPT-4, GPT-4o) |
| Anthropic | Chiave API + selezione del modello (Claude Sonnet, Opus) |
| Azure OpenAI | Endpoint + nome della distribuzione |
| Ollama | Self-hosted, endpoint locale (llama3, mistral) |
| Google Gemini | Chiave API + selezione del modello |
| Capability | Description |
|---|
| Threat Analysis | Analizzare gli indicatori di compromesso e il contesto degli avvisi |
| Decision Making | Determinare le azioni di risposta in base alla gravità e al contesto |
| Enrichment | Correlare i dati tra più fonti di intelligence |
| Summarization | Generare riepiloghi degli incidenti per la revisione umana |
| Playbook Selection | Scegliere il flusso di lavoro di risposta appropriato in base al tipo di avviso |
| Feature | Description |
|---|
| Custom Fields | Definire i campi di metadati specifici del caso |
| Task Assignment | Assegnare le attività di investigazione ai membri del team |
| Attachments | Caricare file di prove e screenshot |
| Audit Trail | Cronologia completa delle azioni e delle modifiche del caso |
| SLA Tracking | Monitorare gli obiettivi di tempo di risposta e risoluzione |
| Escalation Rules | Auto-escalation in base alla gravità e alle soglie di tempo |
| Feature | Description |
|---|
| Authentication | Autenticazione di base, Google OAuth, SAML 2.0 (Okta, Entra ID) |
| Authorization | Controllo dell’accesso basato su ruoli (RBAC) |
| Workspace Isolation | Separazione dello spazio di lavoro multi-tenant |
| Secret Encryption | Crittografia AES-256 con iniezione automatica |
| Audit Logging | Cronologia completa dell’accesso e dell’esecuzione |
| Script Sandboxing | Isolamento WebAssembly con restrizioni di rete |
| Resource Limits | Vincoli di CPU e memoria per l’esecuzione di script |
Trigger: Email received →
AI Agent: Analyze headers and content →
Condition: Malicious? →
Yes: Block sender + Create ticket + Notify SOC
No: Log and close
Trigger: SIEM alert (impossible travel) →
Enrichment: Check user history + Geo IP →
AI Agent: Assess risk level →
Condition: High risk? →
Yes: Disable account + Page on-call + Create case
No: Add to watchlist + Log event
Trigger: EDR alert (malware detected) →
Action: Isolate endpoint →
Enrichment: VirusTotal hash lookup →
Action: Create Jira ticket →
Action: Notify Slack channel →
AI Agent: Generate incident summary
| Endpoint | Method | Description |
|---|
/api/v1/workflows | GET | Elencare tutti i flussi di lavoro |
/api/v1/workflows | POST | Creare un nuovo flusso di lavoro |
/api/v1/workflows/{id}/run | POST | Eseguire un flusso di lavoro |
/api/v1/cases | GET | Elencare i casi |
/api/v1/cases | POST | Creare un nuovo caso |
/api/v1/integrations | GET | Elencare le integrazioni configurate |
/api/v1/agents | GET | Elencare gli agenti AI |
/api/v1/webhooks | POST | Ricevere gli eventi esterni |
- Iniziare con i template di flusso di lavoro predefiniti prima di crearne di personalizzati
- Utilizzare l’agente AI in modalità “supervisione” inizialmente — rivedere le decisioni prima di abilitare la risposta autonoma
- Configurare l’accesso basato su ruoli per limitare chi può modificare i flussi di lavoro di produzione
- Testare i flussi di lavoro nell’ambiente di sviluppo prima di distribuirli in produzione
- Archiviare i segreti utilizzando il gestore di segreti crittografati incorporato, non variabili di ambiente
- Configurare il tracking SLA per i requisiti di conformità (SOC 2, ISO 27001)
- Utilizzare rami di esecuzione parallela per accelerare le query di arricchimento
- Abilitare la registrazione dell’audit per tutte le esecuzioni del flusso di lavoro
