SamFrieman/soc-automation-platform

GitHub: SamFrieman/soc-automation-platform

面向安全运营团队的模块化 SOAR 平台，覆盖告警接入、威胁富化、案件管理全生命周期，并将剧本映射到六大安全框架。

Stars: 0 | Forks: 0

# SOC 自动化平台 **用于告警接入、威胁富化和案件管理的模块化 SOAR 平台** [![Python](https://img.shields.io/badge/Python-3.9%2B-blue?logo=python)](https://python.org) [![Django](https://img.shields.io/badge/Django-REST-green?logo=django)](https://djangoproject.com) [![React](https://img.shields.io/badge/React-Frontend-61DAFB?logo=react)](https://react.dev) [![Celery](https://img.shields.io/badge/Celery-Async-37814A?logo=celery)](https://docs.celeryq.dev) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](LICENSE)

## 概述一个安全运营中心自动化平台，处理完整的告警生命周期——从接入、富化、分诊到案件创建。剧本映射到行业框架，以便分析师始终知道某个发现处于威胁环境中的具体位置。 **框架覆盖范围：** MITRE ATT&CK · MITRE D3FEND · Kill Chain · Diamond Model · OWASP Top 10 · STRIDE ## 架构 ``` Django REST API ──┐ ├── PostgreSQL (case/alert storage) React Frontend ──┘ Celery Workers ──── Redis Broker (async task queue) Celery Beat ──── Scheduled enrichment jobs ``` **告警生命周期：** 1. 通过 REST API 或 webhook 接入告警 2. Celery worker 触发富化（IOC 查询、ATT&CK 映射、严重性评分） 3. 自动创建案件，关联相关证据和框架标签 4. 分析师在 React 仪表盘中进行审查；行内显示剧本建议 5. 案件以处置结果 + 记录的 TTPs 结案，用于趋势分析 ## 功能特性 - **异步告警接入** — Celery + Redis 队列处理突发接入，不阻塞 API - **威胁富化** — 自动化 IOC 上下文分析、MITRE 技术标签和严重性分类 - **可复用剧本** — 映射至 ATT&CK、D3FEND、Diamond Model、OWASP Top 10、STRIDE - **案件管理** — 结构化的案件创建、证据关联和处置结果跟踪 - **框架数据加载器** — 一条命令即可填充 ATT&CK 技术、Kill Chain 阶段、Diamond Model 组件 - **pytest + npm test** — 包含后端和前端测试套件 ## 快速开始 **环境要求：** Python 3.9+, Node 16+, PostgreSQL 12+, Redis 6+ ``` git clone https://github.com/SamFrieman/soc-automation-platform cd soc-automation-platform # Backend cd backend python -m venv venv && source venv/bin/activate pip install -r requirements.txt cp .env.example .env # set DATABASE_URL, REDIS_URL, SECRET_KEY python manage.py migrate python manage.py load_frameworks # populate ATT&CK, Kill Chain, Diamond Model, STRIDE, OWASP # 启动服务 (单独终端) redis-server celery -A soc_platform worker --loglevel=info python manage.py runserver # Frontend cd ../frontend npm install && npm start ``` ## 框架映射每个告警和剧本都同时打上来自多个框架的相关技术标签： | Framework | Coverage | |-----------|----------| | MITRE ATT&CK | Tactic + technique + sub-technique | | MITRE D3FEND | Defensive countermeasure mapping | | Cyber Kill Chain | Stage classification | | Diamond Model | Adversary / capability / infrastructure / victim | | OWASP Top 10 | Web vulnerability classification | | STRIDE | Threat modeling category | ## 部署 **云端 (Heroku / AWS / Azure / DigitalOcean):** ``` # 配置环境变量, 运行 migrations, 通过 systemd 启动 gunicorn + celery ``` **CI/CD:** 包含 GitHub Actions 工作流，用于自动化测试和部署。 ## 许可证 MIT

标签：ATT&CK框架, Celery, CISA项目, Cloudflare, D3FEND, Django, Django REST Framework, IOC查询, IP 地址批量处理, MITRE ATT&CK, PE 加载器, Playbook, PostgreSQL, Python, React, Redis, SOAR, SOC自动化, STRIDE, Syscalls, Webhook, 企业安全, 前后端分离, 力导向图, 告警分诊, 告警接入, 威胁情报富化, 安全剧本, 安全运营, 安全运营中心, 异步任务队列, 扫描框架, 搜索引擎查询, 无后门, 杀伤链, 测试用例, 网络安全, 网络映射, 网络资产管理, 自动化防御, 逆向工具, 钻石模型, 隐私保护