jad-fahmi/soc-simulator
GitHub: jad-fahmi/soc-simulator
基于 Next.js 的 L1 安全运营中心分析师培训模拟器,在浏览器中提供告警分诊、事件调查、工单处理等完整工作流训练。
Stars: 1 | Forks: 0
# SOC 分析师模拟器 —— L1 虚拟工作台
一个面向 L1 安全运营中心 分析师的交互式浏览器培训模拟器。在逼真的环境中练习告警分诊、事件调查、工单处理、升级和轮班管理。
## 功能特性
**SIEM 仪表盘** —— 实时告警流,支持严重性排序、误报识别和真实日志条目。告警在轮班期间按可配置的速率动态到达。
**调查面板** —— 针对单个告警的调查视图,包含三个子视图:概览(主机名、IP、地理位置)、原始日志(终端格式)以及威胁情报(模拟 VirusTotal/AbuseIPDB 查询,带有异步延迟)。
**工单系统** —— 完整的事件生命周期:打开 → 调查 → 升级/解决。按严重程度设定的 SLA 截止时间。带有类型编码的备注时间线。升级需要填写文档化的理由。
**团队协作** —— 模拟与 L2/L3 团队成员的聊天。升级操作会触发自动回复。轮班期间的告警激增会生成系统警告。
**指标与复盘** —— 轮班后记分卡(0–1000 分)及字母等级。包含 KPI 网格、性能雷达图、告警细分柱状图,以及针对漏判误报、违反 SLA、文档缺失的具体书面反馈。
**4 种培训场景**
| 场景 | 难度 | 时长 | 告警速率 |
|----------|-----------|----------|------------|
| 早班 | 初级 | 15 分钟 | 1.5/分钟 |
| 事件激增 | 中级 | 15 分钟 | 4/分钟 + 激增 |
| APT 指标 | 高级 | 20 分钟 | 2/分钟 |
| 安静夜班 | 初级 | 10 分钟 | 0.5/分钟 |
## 技术栈
- **框架:** Next.js 14 (App Router)
- **语言:** TypeScript (strict mode)
- **样式:** Tailwind CSS (自定义终端调色板)
- **状态管理:** Zustand
- **图表:** Recharts
- **字体:** IBM Plex Sans + JetBrains Mono
- **工具库:** date-fns, lucide-react, clsx
## 项目结构
```
src/
├── app/ # Next.js app router
│ ├── layout.tsx # Root layout (fonts, metadata)
│ ├── page.tsx # Entry point
│ └── globals.css # Base styles, scrollbars, animations
├── components/
│ ├── siem/ # Alert list, scenario select, shift header
│ ├── investigation/ # Alert detail, threat intel, action panel
│ ├── tickets/ # Ticket list, detail, note timeline
│ ├── collaboration/ # Team chat, status indicators
│ ├── metrics/ # Score, KPIs, charts, debrief
│ ├── shared/ # SeverityBadge, StatusBadge
│ └── SimulatorLayout.tsx # Top-level layout shell
├── lib/
│ ├── alerts/ # Alert generator (12 templates)
│ ├── threat-intel/ # Simulated IP/domain/hash lookup
│ ├── tickets/ # Ticket CRUD and SLA management
│ ├── metrics/ # KPI calculation, scoring
│ └── scenarios/ # Scenario config definitions
├── store/
│ └── simulator.ts # Zustand global state
└── types/
└── index.ts # All TypeScript interfaces
scripts/
└── setup-git-history.sh # Generates realistic git commit history
```
## L1 分析师职责范围
根据规范,本模拟器仅涵盖 L1 职责范围内的任务:
- 告警分诊与误报识别
- 基础日志与端点调查
- 威胁情报补充(IP/域名信誉)
- 工单创建、文档记录与升级
- SLA 监控与轮班管理
- 团队沟通与交接
L2/L3 任务(深度取证、威胁狩猎、事件响应协调)仅作为模拟终点——表现为升级接收方,而非可操作项。
## 学习成果
完成所有场景后,受训者应能够:
1. 监控实时告警队列并按严重程度确定优先级
2. 利用上下文线索和威胁情报识别误报
3. 使用 SIEM 日志和端点数据进行基础调查
4. 创建并维护具有适当文档记录的事件工单
5. 附带文档化理由适当地升级事件
6. 在告警激增条件下保持绩效
7. 解读轮班指标以识别个人改进领域
标签:HTTP/HTTPS抓包, KPI 考核, L1 分析师, SIEM 模拟器, SOC 培训, Tailwind CSS, TypeScript, Zustand, 事件调查, 告警分流, 威胁情报, 安全培训平台, 安全插件, 安全教育, 安全运营中心, 工单系统, 开发者工具, 开源安全工具, 态势感知, 浏览器游戏, 网络安全, 网络映射, 网络研究, 自动化攻击, 蓝队训练, 逆向工程平台, 隐私保护