cyberblu3s/CyberBlue
GitHub: cyberblu3s/CyberBlue
集成15+款蓝队安全工具的容器化SOC培训平台,实现从部署到实战的一站式安全运营学习环境。
Stars: 494 | Forks: 96
# 🛡️ CyberBlueSOC Platform
[](https://opensource.org/licenses/MIT)
[](https://github.com/CyberBlue0/CyberBlue/releases)
[](https://www.docker.com/)
[](https://docs.docker.com/compose/)
[](https://cyberblue.co)
[](https://github.com/CyberBlu3s/CyberBlue#-important-security-notice)
# ⚠️ **仅供教育与测试环境使用** ⚠️
**CyberBlue** 是一个综合性的、容器化的网络安全**学习平台**,汇集了行业领先的开源工具,涵盖 **SIEM**、**DFIR**、**CTI**、**SOAR** 和 **Network Analysis**。
## 🚨 **重要安全须知**
**⚠️ 这是一个学习/测试环境 ⚠️**
### **🔴 关键警告 - 安装前必读:**
- **🔴 无安全保证** - 无担保,不适合处理真实敏感数据或监控生产系统
- **🔴 默认凭据** - 所有工具均使用已知的默认密码 (admin/cyberblue 等)
- **🔴 无身份验证** - 门户已移除身份验证以便于实验室访问
- **🔴 开发版本** - 这是用于学习目的的 Beta 软件
### **✅ 适用场景:**
- 🎓 网络安全培训课程和认证
- 🧪 安全工具评估和测试
- 🏫 学术机构和研究实验室
- 💻 家庭实验室环境(与生产环境隔离)
- 📚 SOC 分析师技能开发
- 🎯 夺旗赛 (CTF) 和训练演练
### **❌ 切勿将此平台用于:**
- ❌ 处理任何敏感、机密或生产数据
### **⚖️ 法律免责声明:**
本软件按“原样”提供,仅供教育目的。不提供任何安全保证或担保。用户需自行负责在隔离的实验室环境中确保适当使用。对于因使用或误用本平台导致的任何损害或安全事件,我们不承担责任。
## 🎯 关于 CyberBlue
**CyberBlue** 是一个开源的一站式网络安全培训平台,提供行业标准安全工具的实践经验。专为教育目的构建,允许学生、安全专业人员和爱好者在安全、隔离的环境中学习 SOC 操作、威胁狩猎、事件响应和安全自动化。
**🌐 网站-尚未上线**: [https://cyberblue.co](https://cyberblue.co)
**📖 文档**: 位于本仓库中
**🎓 目的**: 教育和培训使用
**📜 许可证**: MIT (开源)
**⚠️ 版本**: 1.0-beta (初始版本)
### **它的功能:**
CyberBlue 将蓝队网络安全工具部署转变为一种**类似一键的解决方案**。基于 Docker Compose 构建并配备精美的 Web 门户,它能在几分钟内(而非几天)提供企业级安全工具访问权限——非常适合学习和练习安全操作。
### 🌟 为什么选择 CyberBlue 进行学习?
- **🚀 即时实验室部署**: 约 30 分钟内完成完整的 SOC 培训环境
- **🎓 教育导向**: 预配置样本数据,便于动手学习
- **🎨 现代界面**: 精美的暗色主题门户,便于访问工具
- **🔧 拟真设置**: 体验生产 SOC 中使用的真实安全工具
- **🤖 智能配置**: 自动网络检测和设置
- **📊 包含样本数据**: Arkime 包含网络捕获,Suricata 包含 5 万+ 事件
- **🔍 威胁狩猎就绪**: 预装 YARA (523 条规则) & Sigma (3,047 条规则)
- **📚 学习资源**: 全面的文档和指南
- **🌐 免费且开源**: 无许可费用,非常适合学生和实验室
## 🛡️ 包含的安全工具
### 📊 **SIEM & 监控**
- **[Wazuh](https://wazuh.com/)** - 基于主机的入侵检测和日志分析
- **[Suricata](https://suricata.io/)** - 网络入侵检测和防御
- **[EveBox](https://evebox.org/)** - Suricata 事件和告警管理
### 🕵️ **DFIR & 取证**
- **[Velociraptor](https://docs.velociraptor.app/)** - 端点可见性和数字取证
- **[Arkime](https://arkime.com/)** - 全流量包捕获和网络分析
- **[Wireshark](https://www.wireshark.org/)** - 网络协议分析器
### 🧠 **威胁情报**
- **[MISP](https://www.misp-project.org/)** - 威胁情报平台
- **[MITRE ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/)** - 威胁建模和可视化
### ⚡ **SOAR & 自动化**
- **[Shuffle](https://shuffler.io/)** - 安全编排和自动化
- **[TheHive](https://thehive-project.org/)** - 事件响应平台
- **[Cortex](https://github.com/TheHive-Project/Cortex)** - 可观察对象分析引擎
### 🔧 **实用工具 & 管理**
- **[CyberChef](https://gchq.github.io/CyberChef/)** - 网络瑞士军刀
- **[Portainer](https://www.portainer.io/)** - 容器管理界面
- **[FleetDM](https://fleetdm.com/)** - 设备管理和 osquery 集群管理器
- **[Caldera](https://caldera.mitre.org/)** - 对手模拟平台
### 🔍 **威胁狩猎 & 检测**
- **[YARA](https://virustotal.github.io/yara/)** - 用于恶意软件检测和分类的模式匹配
- **安装**: 直接在主机上安装(无容器开销)
- **规则**: 来自 [Yara-Rules](https://github.com/Yara-Rules/rules) 的 523+ 条精选规则
- **位置**: `/opt/yara-rules/`
- **用法**: `yara -r /opt/yara-rules/malware_index.yar /path/to/file`
- **集成**: 适用于 Velociraptor、TheHive/Cortex 和 CLI
- **[Sigma](https://github.com/SigmaHQ/sigma)** - 通用 SIEM 规则格式和转换器
- **安装**: Sigma CLI 安装在主机上
- **规则**: 来自 [SigmaHQ](https://github.com/SigmaHQ/sigma) 的 3,047+ 条检测规则
- **位置**: `/opt/sigma-rules/`
- **用法**: 将规则转换为 Wazuh/OpenSearch/Elasticsearch 格式
- **命令**: `sigma convert -t opensearch_lucene --without-pipeline rule.yml`
- **集成**: 为 Wazuh、Suricata 和 EveBox 生成规则
## ✨ **新功能:Agent 部署 & 威胁情报中心**
**门户现已包含企业级 Agent 部署和威胁情报功能:**
### **🔵 Agent 部署 (Agents 标签)**
- **Velociraptor** - DFIR Agent 部署
- **Wazuh** - HIDS Agent 部署
- **Caldera** - 红队/对手模拟部署
- **Arkime PCAP** - 一键网络流量捕获
- **Shuffle** - 针对 12 种工具的 SOAR 集成指南
**零配置包**,自动提取证书和密钥!
### **🧠 威胁情报 (Intel 标签)**
- **IOC 搜索** - 即时搜索 MISP 数据库
- **自动填充 MISP** - 来自 5 个威胁情报源的 28 万+ 指标
- **每日自动更新** - 每天获取最新威胁情报
- **近期事件** - 最新威胁情报
- **Feed 同步** - 按需更新 Feed
**全自动** - MISP 在安装过程中自动填充!
### ⚡ 快速更新 — 强制刷新 MISP Feeds
1. 以 **admin** 身份登录您的 MISP Web UI 并设置密码(如果是首次登录)。
2. 从仓库根目录运行:
```
bash misp/configure-threat-feeds.sh
```
## 🚀 快速开始
### 📋 系统要求
- **内存 (RAM)**: 建议 16+ GB
- **存储**: 150GB+ 可用磁盘空间
- **操作系统**: Ubuntu 22.04+ LTS (已在 22.04.5 & 24.04.2 上测试) Ubuntu x86_64 (AMD/Intel)
- **网络**: 互联网连接(用于下载)
### ⚡ **简单安装**
**通过几条命令完成 CyberBlueSOC 安装:**
```
# 克隆并安装 CyberBlue SOC
git clone https://github.com/CyberBlu3s/CyberBlue.git
cd CyberBlue
chmod +x cyberblue_install.sh
./cyberblue_install.sh
```
**就是这样!** 这将:
- ✅ 安装所有先决条件(Docker、Docker Compose、系统优化)
- ✅ 配置 8GB Swap 空间以确保系统稳定性(防止挂起/崩溃)
- ✅ 自动部署所有 15+ 安全工具
- ✅ 安装 YARA (523+ 恶意软件规则) 和 Sigma (3,047+ 检测规则)
- ✅ 配置网络和 SSL 证书
- ✅ 设置门户访问(已移除身份验证以便于使用)
- ✅ 适用于 AWS、VMware、VirtualBox,您可以测试其他环境 :)
- ✅ 约 30 分钟完成设置
### 🌐 **访问您的 SOC 实验室**
安装完成后,通过以下地址访问您的安全实验室:
- **🔒 门户**: `https://YOUR_SERVER_IP:5443` (无需身份验证)
- **🛡️ 工具**: 可在端口 7000-7099 上访问
### 🛡️ **安装内容**
安装过程会自动:
- ✅ 部署 15+ 集成安全工具
- ✅ 配置 8GB Swap 空间(防止系统挂起和 OOM 崩溃)
- ✅ 安装 YARA 及 523+ 恶意软件检测规则
- ✅ 安装 Sigma CLI 及 3,047+ 通用检测规则
- ✅ 配置安全的 HTTPS 门户(直接访问,无需登录)
- ✅ 设置 Suricata 和 Arkime 进行网络监控
- ✅ 使用 MISP 初始化威胁情报
- ✅ 使用 Wazuh 和 EveBox 配置 SIEM
- ✅ 使用 TheHive 和 Cortex 设置事件响应
- ✅ 使用 Shuffle 部署自动化平台
- ✅ 创建 SSL 证书和安全凭据
- ✅ 针对容器工作负载优化系统
### 🌐 **访问您的安全实验室**
安装完成后,通过以下地址访问您的工具:
**🔒 主门户:**
```
https://YOUR_SERVER_IP:5443
No authentication required - direct access
```
**🛡️ 单个工具 (端口 7000-7099):**
- **Velociraptor**: https://YOUR_SERVER_IP:7000 (admin/cyberblue)
- **Wazuh**: https://YOUR_SERVER_IP:7001 (admin/SecretPassword)
- **Shuffle**: https://YOUR_SERVER_IP:7002 (admin/password)
- **MISP**: https://YOUR_SERVER_IP:7003 (admin@admin.test/admin)
- **CyberChef**: http://YOUR_SERVER_IP:7004 (无认证)
- **TheHive**: http://YOUR_SERVER_IP:7005 (admin@thehive.local/secret)
- **Cortex**: http://YOUR_SERVER_IP:7006 (admin/cyberblue123)
- **FleetDM**: http://YOUR_SERVER_IP:7007 (需要设置)
- **Arkime**: http://YOUR_SERVER_IP:7008 (admin/admin)
- **Caldera**: http://YOUR_SERVER_IP:7009 (red:cyberblue, blue:cyberblue)
- **EveBox**: http://YOUR_SERVER_IP:7015 (无认证)
- **Wireshark**: http://YOUR_SERVER_IP:7011 (admin/cyberblue)
- **MITRE Navigator**: http://YOUR_SERVER_IP:7013 (无认证)
- **Portainer**: https://YOUR_SERVER_IP:9443 (admin/cyberblue123)
## 📖 文档
### 📚 全面文档
- **[⚡ 快速参考](QUICK_REFERENCE.md)** - 基本命令和访问信息
- **[🔍 Arkime 设置](ARKIME_SETUP.md)** - 包含样本数据的网络分析
- **[⚙️ 工具配置](docs/TOOL_CONFIGURATIONS.md)** - 高级工具设置和自定义
- **[🔌 API 参考](docs/API_REFERENCE.md)** - 门户 API 文档
- **[🔧 故障排除](docs/TROUBLESHOOTING.md)** - 常见问题和解决方案
## 🎨 CyberBlue 门户功能
CyberBlue 门户提供了一个安全、统一的界面来管理您的安全实验室:
### 📊 **增强仪表板**
- 实时容器状态监控(30+ 个容器)
- 系统资源利用率跟踪
- 安全指标和趋势可视化
- 活动日志和全面的变更日志
- 带有状态警报的容器健康指示器
### 🔧 **容器管理**
- 所有服务的一键启动/停止/重启控制
- 带有实时更新的健康状态指示器
- 资源使用监控和警报
- 用于故障排除的日志功能
- 自动容器监控和恢复
### 🛡️ **安全概览**
- 工具分类 (SIEM, DFIR, CTI, SOAR, 实用工具)
- 快速访问所有 15+ 安全工具
- 跨平台集成状态监控
- 包含威胁指标的安全态势仪表板
- 自动化服务健康检查
### 🔍 **搜索 & 过滤**
- 全局工具搜索功能
- 基于类别的过滤 (SIEM, DFIR, CTI 等)
- 基于状态的过滤 (运行中, 已停止, 关键)
- 包含描述和凭据的有组织工具布局
## 🐳 架构
CyberBlue 使用带有 Docker Compose 的微服务架构:
```
┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐
│ CyberBlue │ │ SIEM Stack │ │ DFIR Stack │
│ Portal │ │ │ │ │
│ (Flask App) │ │ • Wazuh │ │ • Velociraptor │
│ │ │ • Suricata │ │ • Arkime │
│ │ │ • EveBox │ │ • Wireshark │
└─────────────────┘ └─────────────────┘ └─────────────────┘
│ │ │
└───────────────────────┼───────────────────────┘
│
┌─────────────────┐ ┌┴─────────────────┐ ┌─────────────────┐
│ CTI Stack │ │ Docker Network │ │ SOAR Stack │
│ │ │ (172.18.0.0/16) │ │ │
│ • MISP │ │ │ │ • Shuffle │
│ • MITRE ATT&CK │ │ │ │ • TheHive │
│ │ │ │ │ • Cortex │
└─────────────────┘ └──────────────────┘ └─────────────────┘
```
## 📋 系统要求
### 推荐配置
- **CPU**: 8+ 核心
- **内存 (RAM)**: 16GB+
- **存储**: 100GB+ SSD
- **网络**: 千兆以太网
## 🔧 故障排除
### 🆘 **快速修复**
**如果安装失败或容器无法启动:**
```
# 完全重启系统 (推荐)
./force-start.sh
# 检查所有容器 (应显示 30+ 个运行中)
sudo docker ps
# 查看 portal 日志
sudo docker logs cyber-blue-portal
```
**门户无法访问:**
```
# 测试 HTTPS 访问
curl -k https://localhost:5443/health
# 重启 portal
sudo docker-compose restart portal
```
**Fleet 数据库问题:**
```
# 修复 Fleet 数据库
./fix-fleet.sh
# 检查 Fleet 状态
sudo docker logs fleet-server
```
**单个工具问题:**
```
# 重启特定服务
sudo docker-compose restart [service-name]
# 检查服务日志
sudo docker logs [container-name]
# 检查系统资源
sudo docker stats
```
### 🛠️ **实用脚本**
- **`./setup-prerequisites.sh`** - 安装所有系统先决条件
- **`./cyberblue_install.sh`** - 主要的 CyberBlue 安装脚本
- **`./force-start.sh`** - 所有服务的紧急重启
- **`./fix-fleet.sh`** - 修复 Fleet 数据库问题
## 🔍 YARA & Sigma - 威胁狩猎指南
### 📋 **YARA - 恶意软件检测**
**什么是 YARA?**
YARA 是基于文本或二进制模式识别和分类恶意软件的行业标准工具。
**安装位置:**
- **二进制文件**: `/usr/bin/yara`
- **规则**: `/opt/yara-rules/` (523+ 条规则)
- **版本**: 4.1.3
**可用规则类别:**
```
/opt/yara-rules/
├── malware/ # Malware family detection (APTs, trojans, ransomware)
├── webshells/ # Web shell detection
├── cve_rules/ # CVE exploit detection
├── packers/ # Packer and crypter detection
├── crypto/ # Cryptographic algorithm detection
├── capabilities/ # Malware capability detection
├── email/ # Email-based threat detection
├── exploit_kits/ # Exploit kit detection
└── mobile_malware/ # Android/iOS malware
```
**快速入门示例:**
```
# 使用所有恶意软件规则扫描单个文件
yara /opt/yara-rules/malware_index.yar /path/to/suspicious_file
# 递归扫描目录
yara -r /opt/yara-rules/index.yar /path/to/directory
# 使用特定类别扫描 (webshells)
yara /opt/yara-rules/webshells_index.yar /var/www/html/
# 带超时的快速扫描
yara -f -w -d timeout=60 /opt/yara-rules/malware_index.yar /path/to/files
# 扫描内存转储
sudo yara /opt/yara-rules/malware_index.yar /proc/*/mem
```
**集成示例:**
```
# 与 Velociraptor 集成
# 创建针对收集的文件运行 YARA 的 hunt artifact
# 与 TheHive/Cortex 集成
# 使用 YARA 作为文件 observables 的 Cortex analyzer
# 自动扫描脚本
#!/bin/bash
for file in /path/to/suspicious/*; do
yara -r /opt/yara-rules/malware_index.yar "$file" >> yara_scan_results.log
done
```
**常用 YARA 规则索引:**
- `index.yar` - 所有规则合集
- `malware_index.yar` - 所有恶意软件规则
- `webshells_index.yar` - 所有 Webshell 规则
- `cve_rules_index.yar` - 所有 CVE 漏洞利用规则
- `crypto_index.yar` - 加密相关规则
### 📊 **Sigma - 通用检测规则**
**什么是 Sigma?**
Sigma 是用于 SIEM 系统的通用签名格式,允许您编写一次检测规则并将其转换为任何 SIEM 平台。
**安装位置:**
- **CLI**: `/usr/local/bin/sigma`
- **规则**: `/opt/sigma-rules/` (3,047+ 条规则)
- **后端**: OpenSearch, Elasticsearch, Lucene
**可用规则类别:**
```
/opt/sigma-rules/
├── rules/ # Main detection rules
│ ├── windows/ # Windows event log rules
│ ├── linux/ # Linux system rules
│ ├── cloud/ # Cloud platform rules (AWS, Azure, GCP)
│ ├── network/ # Network traffic rules
│ ├── application/ # Application-specific rules
│ └── proxy/ # Proxy and web traffic rules
├── rules-threat-hunting/ # Threat hunting focused rules
├── rules-emerging-threats/ # Latest threat intel rules
└── rules-compliance/ # Compliance and audit rules
```
**快速入门示例:**
```
# 列出可用的转换目标
sigma list targets
# 将单个规则转换为 OpenSearch (用于 Wazuh)
sigma convert -t opensearch_lucene --without-pipeline \
/opt/sigma-rules/rules/linux/process_creation/proc_creation_lnx_susp_nohup.yml
# 将 Windows 进程创建规则转换为 OpenSearch
sigma convert -t opensearch_lucene --without-pipeline \
/opt/sigma-rules/rules/windows/process_creation/*.yml \
-o /tmp/wazuh-rules.json
# 转换目录中的所有规则
sigma convert -t lucene --without-pipeline \
/opt/sigma-rules/rules/linux/ \
-o /tmp/linux-detection-rules.txt
# 转换前验证规则
sigma check /opt/sigma-rules/rules/windows/process_creation/
# 分析规则覆盖率
sigma analyze /opt/sigma-rules/rules/
```
**与 Wazuh 集成:**
```
# 将 Sigma 规则转换为 Wazuh 的 OpenSearch 格式
sigma convert -t opensearch_lucene --without-pipeline \
/opt/sigma-rules/rules/windows/ \
-o /tmp/wazuh-windows-rules.json
# 将规则应用到 Wazuh (通过 Dashboard > Management > Rules 手动导入)
# 或通过 Wazuh API 编程实现
```
**与 Suricata 集成:**
```
# 虽然 Sigma 不直接转换为 Suricata 格式,
# 但您可以参考网络规则来创建 Suricata 规则
sigma list /opt/sigma-rules/rules/network/
```
**常见用例:**
```
# 1. 检测 PowerShell 滥用
sigma convert -t opensearch_lucene --without-pipeline \
/opt/sigma-rules/rules/windows/powershell/ -o powershell-detections.json
# 2. 检测横向移动
sigma convert -t opensearch_lucene --without-pipeline \
/opt/sigma-rules/rules/windows/builtin/security/win_security_susp_failed_logons.yml
# 3. 检测勒索软件指标
find /opt/sigma-rules/rules -name "*ransom*" -o -name "*crypt*" | \
xargs sigma convert -t opensearch_lucene --without-pipeline
# 4. 云安全监控 (AWS/Azure/GCP)
sigma convert -t opensearch_lucene --without-pipeline \
/opt/sigma-rules/rules/cloud/ -o cloud-detections.json
```
**规则统计:**
- **Sigma 规则总数**: 3,047+
- **Windows 规则**: 2,500+
- **Linux 规则**: 200+
- **云规则**: 150+
- **网络规则**: 100+
- **应用程序规则**: 97+
**最佳实践:**
1. **部署前测试规则**: 使用 `sigma check` 进行验证
2. **从高置信度规则开始**: 专注于 emerging-threats 类别
3. **针对您的环境调优**: 调整阈值和条件
4. **定期更新**: 每周拉取最新规则
5. **记录自定义规则**: 维护您自己的规则库
**自动更新配置:**
CyberBlue 通过 cron **在每周日凌晨 2:00** 自动更新 YARA 和 Sigma 规则。
```
# 查看配置的自动更新计划
crontab -l | grep -E "yara|sigma"
# 随时手动更新
cd /opt/yara-rules && git pull
cd /opt/sigma-rules && git pull
# 检查更新日志
tail -f /var/log/yara-update.log
tail -f /var/log/sigma-update.log
# 禁用自动更新 (如需要)
crontab -l | grep -v "yara-rules\|sigma-rules" | crontab -
```
**更新时间表:**
- **YARA 规则**: 每周日凌晨 2:00 → `/var/log/yara-update.log`
- **Sigma 规则**: 每周日凌晨 2:05 → `/var/log/sigma-update.log`
- **自动化**: 在安装期间配置,无需手动设置
## 📊 监控 & 指标
CyberBlue 包含内置监控:
- **容器健康**: 实时状态监控
- **资源使用**: CPU、内存、磁盘利用率
## 🔒 实验室环境安全注意事项
**⚠️ 请记住:这是一个培训平台,而不是生产安全解决方案!**
- **网络隔离**: 仅部署在隔离的实验室网络中,切勿用于生产环境
- **访问控制**: 默认凭据专为实验室使用而设计,故意保持简单
- **SSL/TLS**: 包含自签名证书(在实验室中接受警告)
- **防火墙**: 保持与生产系统隔离
- **数据**: 切勿使用此平台处理真实的敏感数据
## 🌐 了解更多
- **🌍 官方网站 (尚未上线)**: [https://cyberblue.co](https://cyberblue.co)
- **📚 文档**: 位于本仓库中
- **⭐ 给项目点个 Star**: 帮助更多人发现 CyberBlue!
## 📜 许可证
本项目根据 MIT 许可证授权 - 详见 [LICENSE](LICENSE) 文件。
**仅供教育使用** - 不用于生产安全操作。
## 🙏 致谢与版权声明
本项目站在巨人的肩膀上。我们非常感谢整个开源安全社区:
### **🏢 组织 & 项目:**
- **[Wazuh](https://wazuh.com/)** - 提供卓越的开源 SIEM 平台
- **[The Hive Project](https://thehive-project.org/)** - 提供 TheHive 和 Cortex 事件响应工具
- **[Yara-Rules Community](https://github.com/Yara-Rules/rules)** - 提供 523+ 条精选恶意软件检测签名
- **[SigmaHQ](https://github.com/SigmaHQ/sigma)** & **Florian Roth** - 提供 3,047+ 条通用 SIEM 检测规则
- **[Velociraptor](https://www.velocidex.com/)** - 提供强大的 DFIR 平台
- **[Arkime Project](https://arkime.com/)** - 提供全流量包捕获和分析
- **[MISP Project](https://www.misp-project.org/)** - 提供威胁情报共享
- **[Shuffle](https://shuffler.io/)** - 提供安全自动化和编排
- **[Suricata](https://suricata.io/)** - 提供网络入侵检测
- **[EveBox](https://evebox.org/)** - 提供 Suricata 事件管理
- **[FleetDM](https://fleetdm.com/)** - 提供 osquery 集群管理
- **[Caldera](https://caldera.mitre.org/)** - 提供对手模拟
- **[CyberChef](https://gchq.github.io/CyberChef/)** - 提供网络行动的瑞士军刀
- **[Portainer](https://www.portainer.io/)** - 提供容器管理
- **[GCHQ](https://www.gchq.gov.uk/)** - 提供 CyberChef 并激发安全创新
- **[MITRE Corporation](https://attack.mitre.org/)** - 提供彻底改变威胁情报的 ATT&CK 框架
- **[Elastic](https://www.elastic.co/)** - 提供 Elasticsearch 和 ELK 技术栈基础
### **👨💻 个人贡献者:**
- **Florian Roth** ([Neo23x0](https://github.com/Neo23x0)) - Sigma 规则、YARA 专业知识以及不懈的安全研究
- 所有分享检测知识的 **YARA 规则作者**
- 每天改进检测能力的所有 **Sigma 规则贡献者**
- 提供容器化最佳实践的 **Docker 社区**
- 每一位开源其工作的**安全研究员**
## ⚠️ 最后的提醒
**本平台仅为学习和培训目的而设计。**
- ✅ 适用于:网络安全教育、动手培训、技能开发
- ❌ 切勿用于:真实的安全操作、敏感数据
**⭐ 如果您觉得此项目对学习有用,请给仓库点个 Star!**
**🌐 访问 [cyberblue.co](https://cyberblue.co) 获取教程和指南 (尚未上线)**
*CyberBlue v1.0-beta - 教育网络安全培训平台*
标签:Cloudflare, DAST, Docker, Docker Compose, HTTP/HTTPS抓包, MITRE ATT&CK, NIDS, SOAR, SOC平台, 安全培训, 安全实验室, 安全教育, 安全编排与自动化响应, 安全运营中心, 安全防御评估, 实验环境, 容器化, 库, 应急响应, 应用安全, 开源安全工具, 态势感知, 恶意软件分析, 数字取证, 渗透测试训练, 漏洞分析, 版权保护, 系统分析, 网络分析, 网络威胁情报, 网络安全, 网络映射, 网络靶场, 自动化脚本, 自定义DNS解析器, 请求拦截, 路径探测, 逆向工具, 逆向工程平台, 隐私保护