ビジュアルワークフロー ビルダー、80以上の統合、および自動脅威対応エージェントを備えたオープンソースAIセキュリティ オートメーションおよびSOARプラットフォーム。
# リポジトリをクローン
git clone https://github.com/digitranslab/allama.git
cd allama
# プロジェクトを初期化
make init
# 開発環境を開始
make dev
# ワンコマンドのデモ デプロイメント
./demo.sh
# 本番環境デプロイメント
docker-compose up -d
# 開発環境
docker-compose -f docker-compose.dev.yml up -d
# ローカル テスト
docker-compose -f docker-compose.local.yml up -d
# ログを表示
docker-compose logs -f
# すべてのサービスを停止
docker-compose down
| 要件 | 最小 |
|---|
| Python | 3.12+ |
| Docker | 最新の安定版 |
| RAM | 4 GB |
| ディスク容量 | 10 GB |
| コマンド | 説明 |
|---|
make init | プロジェクトを初期化し依存関係をインストール |
make dev | 開発サーバーを開始 |
make test | テストスイートを実行 |
make lint | コード リントを実行 |
docker-compose up -d | 本番環境デプロイメントを開始 |
docker-compose down | すべてのサービスを停止 |
docker-compose logs -f | サービス ログをフォロー |
./demo.sh | デモ環境を起動 |
| コンポーネント | テクノロジー |
|---|
| APIサーバー | FastAPI(Python) |
| ワークフロー エンジン | Temporal |
| AIエージェント | PydanticAI + LiteLLM |
| データベース | PostgreSQL |
| オブジェクト ストレージ | S3互換 |
| スクリプト サンドボックス | WebAssembly(Wasm) |
| フロントエンド | React |
| 統合 | 説明 |
|---|
| Splunk | ログ取り込み、検索クエリ、アラート相関 |
| Elastic SIEM | Elasticsearchクエリ、Kibana ダッシュボード |
| Datadog | メトリクス、ログ、セキュリティ シグナル |
| Wazuh | ホストベース不正侵入検知、コンプライアンス |
| QRadar | IBM セキュリティ インテリジェンス プラットフォーム |
| Microsoft Sentinel | クラウドネイティブSIEMおよびSOAR |
| 統合 | 説明 |
|---|
| CrowdStrike Falcon | エンドポイント検出および対応 |
| SentinelOne | 自律エンドポイント セキュリティ |
| Carbon Black | VMware エンドポイント保護 |
| Microsoft Defender | エンドポイント及びアイデンティティ保護 |
| Cortex XDR | Palo Alto 拡張検出 |
| 統合 | 説明 |
|---|
| Okta | アイデンティティ及びアクセス管理 |
| Microsoft Entra ID | Azure Active Directory |
| Google Workspace | ユーザーおよびデバイス管理 |
| OneLogin | シングル サインオンおよび ディレクトリ |
| 統合 | 説明 |
|---|
| Jira | 問題追跡およびプロジェクト管理 |
| ServiceNow | IT サービス管理 |
| PagerDuty | インシデント管理およびアラート |
| Opsgenie | アラート及びオンコール管理 |
| 統合 | 説明 |
|---|
| Slack | チャネル通知及びボット コマンド |
| Microsoft Teams | アダプティブ カード及びウェブフック |
| Email(SMTP) | アラート通知及びレポート |
| Telegram | ボットベース通知 |
| 統合 | 説明 |
|---|
| VirusTotal | ファイル及びURL分析 |
| AbuseIPDB | IP評判チェック |
| Shodan | インターネット接続資産発見 |
| AlienVault OTX | オープン脅威交換フィード |
| MISP | 脅威インテリジェンス共有 |
| 統合 | 説明 |
|---|
| AWS | CloudTrail、GuardDuty、Security Hub |
| Azure | Sentinel、Defender、Activity Logs |
| GCP | Security Command Center、Cloud Audit |
| コンポーネント | 説明 |
|---|
| Trigger | ワークフローを開始するイベント(ウェブフック、スケジュール、アラート) |
| Action | 統合呼び出し(SIEM クエリ、IP ブロック、チケット作成) |
| Condition | データ値に基づくif/else分岐 |
| Loop | リスト上の反復(IPアドレス、ユーザー、アラート) |
| Parallel | 複数のブランチを同時に実行 |
| Delay | 続行前に指定された期間待機 |
| Script | WebAssembly サンドボックス内のカスタムPythonコード |
| AI Agent | LLMを搭載した意思決定及び分析 |
| Trigger | 説明 |
|---|
| Webhook | 外部イベント取り込み用のHTTPエンドポイント |
| Schedule | Cronベースの定期実行 |
| Alert | SIEM/EDRアラート相関 |
| Manual | UIからのオンデマンド実行 |
| Email | インバウンド メール解析 |
| プロバイダー | 構成 |
|---|
| OpenAI | APIキー+モデル選択(GPT-4、GPT-4o) |
| Anthropic | APIキー+モデル選択(Claude Sonnet、Opus) |
| Azure OpenAI | エンドポイント+デプロイメント名 |
| Ollama | 自ホスト、ローカル エンドポイント(llama3、mistral) |
| Google Gemini | APIキー+モデル選択 |
| 機能 | 説明 |
|---|
| 脅威分析 | 侵害の指標とアラート コンテキストを分析 |
| 意思決定 | 重大度とコンテキストに基づいて対応アクションを決定 |
| 拡張 | 複数のインテリジェンス ソース全体でデータを相関 |
| 要約 | 人間のレビュー用のインシデント要約を生成 |
| プレイブック選択 | アラート タイプに基づいて適切な対応ワークフローを選択 |
| 機能 | 説明 |
|---|
| カスタムフィールド | ケース固有のメタデータ フィールドを定義 |
| タスク割り当て | チームメンバーに調査タスクを割り当て |
| 添付ファイル | 証拠ファイルとスクリーンショットをアップロード |
| 監査証跡 | ケースアクションと変更の完全な履歴 |
| SLA追跡 | 応答及び解決時間の目標を監視 |
| エスカレーション ルール | 重大度と時間の閾値に基づいて自動エスカレーション |
| 機能 | 説明 |
|---|
| 認証 | Basic、Google OAuth、SAML 2.0(Okta、Entra ID) |
| 認可 | ロールベース アクセス制御(RBAC) |
| ワークスペース分離 | マルチテナント ワークスペース分離 |
| シークレット暗号化 | 自動注入を備えたAES-256暗号化 |
| 監査ログ | 完全なアクセス及び実行履歴 |
| スクリプト サンドボックス | ネットワーク制限を伴うWebAssembly分離 |
| リソース制限 | スクリプト実行用のCPU及びメモリ制約 |
Trigger: メール受信 →
AI Agent: ヘッダ及びコンテンツを分析 →
Condition: 悪意あり? →
Yes: 送信者をブロック + チケット作成 + SOC に通知
No: ログして閉じる
Trigger: SIEM アラート(不可能な移動) →
Enrichment: ユーザー履歴 + Geo IP を確認 →
AI Agent: リスク レベルを評価 →
Condition: 高リスク? →
Yes: アカウント無効化 + オンコール呼び出し + ケース作成
No: ウォッチリストに追加 + イベント をログ
Trigger: EDR アラート(マルウェア検出) →
Action: エンドポイント を隔離 →
Enrichment: VirusTotal ハッシュ ルックアップ →
Action: Jira チケット を作成 →
Action: Slack チャネル に通知 →
AI Agent: インシデント要約を生成
| エンドポイント | メソッド | 説明 |
|---|
/api/v1/workflows | GET | すべてのワークフローをリスト |
/api/v1/workflows | POST | 新しいワークフローを作成 |
/api/v1/workflows/{id}/run | POST | ワークフローを実行 |
/api/v1/cases | GET | ケースをリスト |
/api/v1/cases | POST | 新しいケースを作成 |
/api/v1/integrations | GET | 構成済み統合をリスト |
/api/v1/agents | GET | AIエージェントをリスト |
/api/v1/webhooks | POST | 外部イベントを受信 |
- カスタムワークフローを構築する前に事前構築ワークフロー テンプレートで開始
- 最初は AI エージェントを「監督」モードで使用 — 自動対応を有効にする前に判断を確認
- 本番ワークフロー変更を制限するロールベース アクセスを構成
- 本番環境にデプロイする前に開発環境でワークフローをテスト
- 組み込みの暗号化シークレット マネージャーを使用してシークレットを保存、環境変数ではなく
- コンプライアンス要件(SOC 2、ISO 27001)用にSLAトラッキングをセットアップ
- 拡張クエリを高速化するために並列実行分岐を使用
- すべてのワークフロー実行について監査ログを有効化
