# 11/5 報告 ## 🎯 進度 ### wazuh 與edgex 串接 目前可以顯示**EdgeX** 模擬的MQTT數據送到 **Wazuh** 上面  以下是**流程：** ```mermaid graph TD A[EdgeX services publish] -->|MQTT| B[Mosquitto broker] B -->|MQTT| C[mqtt-tap subscribe] C -->|寫檔| D[Wazuh agent] D --> E[Manager/Dashboard] ``` ## 🆕 新的專題架構圖 AI 結合 SOAR 與 Edge IoT 之智慧資安監控平台  ## 🚀延伸  ## 🧩 SOW （Statement of Work） ### 📊 甘特圖  ### 🚩 里程碑 | 期間 | 成員 | 工作項目 | 交付物 | |---|---|---|---| | **10/29–11/05** | 蔡 | EdgeX 虛擬數據流 ↔ Wazuh 串接 | 端到端事件展示（虛擬） | | **11/05–11/12** | 鄭 | 真實 AQD ↔ EdgeX ↔ Wazuh（含 Mosquitto/mqtt-tap） | 真實資料上線 | | | 蔡 | LSTM 模型訓練 v0 | 模型 v0、初步分數 | | | 黃 | 威脅建模初版 | STRIDE/風險矩陣 v0 | | **11/12–11/19** | 黃 | 蒐整 Agentic RAG 所需 Agents/知識與 SOAR 元件 | RAG/Playbook 清單 | | | 蔡、鄭 | 場域 → Wazuh Manager 整合；評估 EdgeX×LSTM 線上整合 | 整合報告 | | **11/19–11/26** | 蔡 | LSTM 推論服務化、事件 schema 對齊 | 推論 API、事件契約 | | | 鄭 | Wazuh/MITRE、Mosquitto 安全強化、SOAR runner 雛型 | 規則集、TLS/ACL、Runner | | | 黃 | Dashboard v0＋威脅建模強化 | 儀表板 v0、文件 v1 | | **11/26–12/03** | 蔡 | Agentic RAG v0（PGVector/Agents/模板/Orchestrator） | RAG 服務 v0 | | | 鄭 | SOAR playbooks v0（wazuh/edr/ids/suricata） | Playbooks v0 | | | 黃 | Dashboard v1＋Ticket/Discord 串接 | 儀表板 v1、Ticket 自動開單 | | **12/03–12/10** | 蔡 | 模型與 RAG 成效優化（門檻/回饋/評估） | F1/誤報/依據報告 | | | 鄭 | SOAR/權限強化、壓測與稽核 | 稽核報告、壓測結果 | | | 黃 | 最終 Dashboard、文件與簡報 | Demo 版面、完整文件 | ### ✅️ 交付與驗收標準（Deliverables & Acceptance） | 交付物 | 驗收條件（可客觀驗證） | |---|---| | **RPi 事件管線** | EdgeX→Mosquitto→mqtt-tap→Wazuh 全路打通；隨機 30 筆感測值 **端到端延遲 ≤ 5s**、遺失率 0%（QoS≥1） | | **Wazuh 規則/解譯** | 真實 AQD 事件可正確分類與標籤；映射至 MITRE tactic/technique | | **LSTM 即時偵測** | Demo 集上 **F1 ≥ 0.8**（或組內同意閾值）；異常能觸發警報並與 SIEM 事件關聯 | | **Agentic RAG** | 支援分類/關聯/摘要/報告 4 類 Agent；回答含引用（grounded） | | **SOAR Playbooks** | 高嚴重度事件自動執行 ≥2 項處置（例：封鎖來源 IP＋建立工單），並回寫執行結果 | | **Dashboard** | 顯示即時事件、模型分數、Agent 決策、SOAR 執行狀態；Demo 首屏 **< 2s** | | **Ticket/通知** | 高嚴重度事件 **10s 內自動開單**，附事件 JSON、MITRE 對應、處置結果連結 | | **文件** | 威脅建模、安裝/操作、Runbook、最終簡報可直接用於答辯 | ## 👩🏻‍💻 R&R（Roles & Responsibilities） ### 專案概述 建置 **IoT → MQTT → Wazuh** 事件管線，結合 **LSTM 即時異常偵測** 與 **Agentic RAG + SOAR** 自動化處置，提供 **Dashboard 與 Ticket** 呈現。 --- ### 蔡（AI 面／Tech Lead-AI） - LSTM/時序異常偵測模型的訓練、推論、門檻策略與成效驗證 - Agentic RAG 推論策略、Orchestrator 介面、與 Wazuh 事件對齊（去重/合併） - 即時偵測系統服務化（gRPC/REST），異常事件 schema 設計與回寫 ### 鄭（資安面／Tech Lead-Security & SOAR） - EdgeX → Mosquitto → mqtt-tap → Wazuh agent 管線落地與通訊安全（TLS、ACL） - Wazuh 解譯/規則與 MITRE ATT&CK 對應，EDR/IDS/Suricata 串接 - SOAR Playbooks 設計與權限治理（Token rotation、RBAC、Rate limit、審計） ### 黃（文書/前端面／PM-Docs & Frontend） - 威脅建模文件、安裝/操作手冊與最終簡報製作 - AI Model Dashboard（事件/模型分數/決策/SOAR 狀態）前端介面 - Ticket/Discord 通知整合與 RAG/Playbook 知識蒐整 --- ## 📶 RACI 矩陣 | 交付物 | 責任 R | 核准 A | 諮詢 C | 知會 I | |---|---|---|---|---| | 樹莓派 EdgeX→Mosquitto→mqtt-tap→Wazuh 串接 | 鄭 | 蔡 | 黃 | 全員 | | LSTM 模型與即時偵測（含門檻策略） | 蔡 | 蔡 | 鄭 | 黃 | | Wazuh 解譯規則與關聯/MITRE 映射 | 鄭 | 鄭 | 蔡 | 黃 | | Agentic RAG（PGVector/Agents/提示） | 蔡 | 蔡 | 黃、鄭 | 全員 | | SOAR Playbooks（wazuh/edr/ids/suricata） | 鄭 | 鄭 | 蔡 | 黃 | | AI Model Dashboard（前端） | 黃 | 蔡 | 鄭 | 全員 | | Ticket/通知（Discord/工單） | 黃 | 鄭 | 蔡 | 全員 | | 威脅建模文件與最終報告 | 黃 | 鄭 | 蔡 | 全員 | > R = Responsible（負責執行） / A = Accountable（最終核准） / C = Consulted（被諮詢） / I = Informed（被知會） --- ## 🎙️ 溝通與節點 - 週會：每一週（由 **黃煜穎 Leader** 主持），追蹤風險/阻塞與進度里程碑。 - 產出歸檔：原始碼走 Git；文件（威脅建模/Runbook/簡報）集中維護。 --- ## 🗓️ 下周進度 ### 鄭： **真實 AQD ↔ EdgeX ↔ Wazuh（含 Mosquitto/mqtt-tap）** ### 蔡： **模型訓練 v0（LSTM）** ### 黃： **威脅建模初版**