시각적 워크플로우 빌더, 80개 이상의 통합, 자동 위협 대응 에이전트를 갖춘 오픈소스 AI 보안 자동화 및 SOAR 플랫폼입니다.
# 저장소 클론
git clone https://github.com/digitranslab/allama.git
cd allama
# 프로젝트 초기화
make init
# 개발 환경 시작
make dev
# 원 커맨드 데모 배포
./demo.sh
# 프로덕션 배포
docker-compose up -d
# 개발 환경
docker-compose -f docker-compose.dev.yml up -d
# 로컬 테스트
docker-compose -f docker-compose.local.yml up -d
# 로그 보기
docker-compose logs -f
# 모든 서비스 중지
docker-compose down
| 요구 사항 | 최소 |
|---|
| Python | 3.12+ |
| Docker | 최신 안정 버전 |
| RAM | 4 GB |
| Disk Space | 10 GB |
| 명령어 | 설명 |
|---|
make init | 프로젝트 초기화 및 의존성 설치 |
make dev | 개발 서버 시작 |
make test | 테스트 스위트 실행 |
make lint | 코드 린팅 실행 |
docker-compose up -d | 프로덕션 배포 시작 |
docker-compose down | 모든 서비스 중지 |
docker-compose logs -f | 서비스 로그 추적 |
./demo.sh | 데모 환경 시작 |
| 구성 요소 | 기술 |
|---|
| API Server | FastAPI (Python) |
| Workflow Engine | Temporal |
| AI Agents | PydanticAI + LiteLLM |
| Database | PostgreSQL |
| Object Storage | S3 호환 |
| Script Sandbox | WebAssembly (Wasm) |
| Frontend | React |
| 통합 | 설명 |
|---|
| Splunk | 로그 수집, 검색 쿼리, 알림 상관 |
| Elastic SIEM | Elasticsearch 쿼리, Kibana 대시보드 |
| Datadog | 메트릭, 로그 및 보안 신호 |
| Wazuh | 호스트 기반 침입 탐지, 규정 준수 |
| QRadar | IBM 보안 인텔리전스 플랫폼 |
| Microsoft Sentinel | 클라우드 네이티브 SIEM 및 SOAR |
| 통합 | 설명 |
|---|
| CrowdStrike Falcon | 엔드포인트 탐지 및 대응 |
| SentinelOne | 자동 엔드포인트 보안 |
| Carbon Black | VMware 엔드포인트 보호 |
| Microsoft Defender | 엔드포인트 및 ID 보호 |
| Cortex XDR | Palo Alto 확장 탐지 |
| 통합 | 설명 |
|---|
| Okta | ID 및 액세스 관리 |
| Microsoft Entra ID | Azure Active Directory |
| Google Workspace | 사용자 및 장치 관리 |
| OneLogin | 단일 로그인 및 디렉토리 |
| 통합 | 설명 |
|---|
| Jira | 이슈 추적 및 프로젝트 관리 |
| ServiceNow | IT 서비스 관리 |
| PagerDuty | 사건 관리 및 알림 |
| Opsgenie | 알림 및 온콜 관리 |
| 통합 | 설명 |
|---|
| Slack | 채널 알림 및 봇 명령 |
| Microsoft Teams | 적응형 카드 및 웹훅 |
| Email (SMTP) | 알림 및 보고서 |
| Telegram | 봇 기반 알림 |
| 통합 | 설명 |
|---|
| VirusTotal | 파일 및 URL 분석 |
| AbuseIPDB | IP 평판 검사 |
| Shodan | 인터넷 연결 자산 발견 |
| AlienVault OTX | 오픈 위협 교환 피드 |
| MISP | 위협 인텔리전스 공유 |
| 통합 | 설명 |
|---|
| AWS | CloudTrail, GuardDuty, Security Hub |
| Azure | Sentinel, Defender, Activity Logs |
| GCP | Security Command Center, Cloud Audit |
| 구성 요소 | 설명 |
|---|
| Trigger | 워크플로우 시작 이벤트 (웹훅, 일정, 알림) |
| Action | 통합 호출 (SIEM 쿼리, IP 차단, 티켓 생성) |
| Condition | 데이터 값 기반 분기 |
| Loop | 목록 반복 (IP 주소, 사용자, 알림) |
| Parallel | 여러 분기 동시 실행 |
| Delay | 계속 진행 전 지정 기간 대기 |
| Script | WebAssembly 샌드박스의 사용자 정의 Python 코드 |
| AI Agent | LLM 기반 의사 결정 및 분석 |
| 트리거 | 설명 |
|---|
| Webhook | 외부 이벤트 수집용 HTTP 엔드포인트 |
| Schedule | Cron 기반 정기적 실행 |
| Alert | SIEM/EDR 알림 상관 |
| Manual | UI에서 주문형 실행 |
| Email | 인바운드 이메일 파싱 |
| 공급자 | 설정 |
|---|
| OpenAI | API 키 + 모델 선택 (GPT-4, GPT-4o) |
| Anthropic | API 키 + 모델 선택 (Claude Sonnet, Opus) |
| Azure OpenAI | 엔드포인트 + 배포 이름 |
| Ollama | 자체 호스팅, 로컬 엔드포인트 (llama3, mistral) |
| Google Gemini | API 키 + 모델 선택 |
| 기능 | 설명 |
|---|
| Threat Analysis | 손상 지표 및 알림 컨텍스트 분석 |
| Decision Making | 심각도 및 컨텍스트 기반 대응 조치 결정 |
| Enrichment | 여러 인텔리전스 소스 간 데이터 상관 |
| Summarization | 인간 검토용 사건 요약 생성 |
| Playbook Selection | 알림 유형 기반 적절한 대응 워크플로우 선택 |
| 기능 | 설명 |
|---|
| Custom Fields | 사건 특정 메타데이터 필드 정의 |
| Task Assignment | 팀 구성원에게 조사 작업 할당 |
| Attachments | 증거 파일 및 스크린샷 업로드 |
| Audit Trail | 사건 조치 및 변경 전체 기록 |
| SLA Tracking | 대응 및 해결 시간 목표 모니터링 |
| Escalation Rules | 심각도 및 시간 임계값 기반 자동 에스컬레이션 |
| 기능 | 설명 |
|---|
| Authentication | 기본, Google OAuth, SAML 2.0 (Okta, Entra ID) |
| Authorization | 역할 기반 액세스 제어 (RBAC) |
| Workspace Isolation | 멀티테넌트 워크스페이스 격리 |
| Secret Encryption | 자동 주입을 통한 AES-256 암호화 |
| Audit Logging | 완전한 액세스 및 실행 기록 |
| Script Sandboxing | 네트워크 제한이 있는 WebAssembly 격리 |
| Resource Limits | 스크립트 실행의 CPU 및 메모리 제약 |
Trigger: Email received →
AI Agent: Analyze headers and content →
Condition: Malicious? →
Yes: Block sender + Create ticket + Notify SOC
No: Log and close
Trigger: SIEM alert (impossible travel) →
Enrichment: Check user history + Geo IP →
AI Agent: Assess risk level →
Condition: High risk? →
Yes: Disable account + Page on-call + Create case
No: Add to watchlist + Log event
Trigger: EDR alert (malware detected) →
Action: Isolate endpoint →
Enrichment: VirusTotal hash lookup →
Action: Create Jira ticket →
Action: Notify Slack channel →
AI Agent: Generate incident summary
| 엔드포인트 | 메서드 | 설명 |
|---|
/api/v1/workflows | GET | 모든 워크플로우 나열 |
/api/v1/workflows | POST | 새 워크플로우 생성 |
/api/v1/workflows/{id}/run | POST | 워크플로우 실행 |
/api/v1/cases | GET | 사건 나열 |
/api/v1/cases | POST | 새 사건 생성 |
/api/v1/integrations | GET | 구성된 통합 나열 |
/api/v1/agents | GET | AI 에이전트 나열 |
/api/v1/webhooks | POST | 외부 이벤트 수신 |
- 사용자 정의 항목을 빌드하기 전에 사전 빌드된 워크플로우 템플릿으로 시작하세요
- 처음에는 “감독” 모드에서 AI 에이전트를 사용하세요 — 자동 대응을 활성화하기 전에 결정 검토하세요
- 역할 기반 액세스를 구성하여 프로덕션 워크플로우를 수정할 수 있는 사람을 제한하세요
- 프로덕션에 배포하기 전에 개발 환경에서 워크플로우를 테스트하세요
- 환경 변수가 아닌 내장 암호화된 시크릿 관리자를 사용하여 시크릿을 저장하세요
- 규정 준수 요구 사항을 위해 SLA 추적을 설정하세요 (SOC 2, ISO 27001)
- 병렬 실행 분기를 사용하여 보강 쿼리 속도를 높이세요
- 모든 워크플로우 실행에 대한 감사 로깅을 활성화하세요
