Viyom26/soc-platform
GitHub: Viyom26/soc-platform
这是一个基于 Next.js 和 FastAPI 的安全运营中心模拟平台,集成了日志分析、威胁情报丰富及实时网络监控功能,用于演示和可视化 SIEM 系统的核心工作流。
Stars: 1 | Forks: 0
# SOC 平台
一个安全运营中心 (SOC) 监控平台,用于实时检测、分析和可视化网络安全威胁。
该项目通过交互式安全仪表板,提供**日志分析、威胁情报丰富、网络监控和安全事件可视化**工具。
该平台的目标是模拟安全团队使用的真实 **SIEM (安全信息和事件管理)** 系统中的功能。
# 目录
* 功能
* 仪表板预览
* 架构
* 模块
* 安装
* 项目结构
* 未来改进
* 作者
# 功能
### 核心安全监控
* 日志解析与安全事件接入
* 威胁情报丰富
* 实时网络监控
* 攻击面监控
* 风险评分引擎
### 检测与分析
* MITRE ATT&CK 映射
* 安全事件关联
* 事件调查面板
* IP 声誉分析
### 可视化
* SOC 安全仪表板
* 实时攻击流
* 全球威胁情报地图
* 严重程度分布图
* 告警趋势分析
### 实时能力
* 基于 WebSocket 的实时告警
* 持续日志监控
* 实时威胁活动源
# 仪表板预览
### 主 SOC 仪表板
### 威胁情报模块
### 实时网络监控
# 架构
## 前端
* Next.js
* TypeScript
* TailwindCSS
* Recharts (安全分析可视化)
## 后端
* FastAPI
* Python
* SQLAlchemy
* GeoIP Intelligence
# 模块
## 日志解析器
上传并解析安全日志,例如:
* 防火墙日志
* IDS / IPS 日志
* 网络活动日志
* 安全告警
这些日志被规范化为结构化事件以供分析。
## 威胁情报
使用以下信息丰富日志数据:
* IP 声誉评分
* 地理位置情报
* 威胁上下文信息
这有助于分析师了解 IP 地址是否具有潜在恶意。
## 实时网络监控
显示来自受监控基础设施的活动网络连接和流量行为。
安全团队可以观察:
* 源和目标连接
* 活跃通信模式
* 可疑活动
## MITRE ATT&CK 映射
将检测到的行为模式映射到 **MITRE ATT&CK 技术**,使分析师能够了解攻击者的战术和技术。
## 风险引擎
使用以下因素计算风险评分:
* 事件严重程度
* 事件频率
* 威胁情报结果
* 行为指标
## 事件调查面板
允许分析师点击攻击者 IP 并查看:
* 完整的攻击时间线
* 目标系统
* 严重程度历史
* 涉及的 MITRE 技术
这模拟了真实的 **SOC 分析师调查工作流**。
# 安装
## 克隆仓库
```
git clone https://github.com/Viyom26/soc-platform.git
cd soc-platform
```
# 后端设置
```
cd backend
pip install -r requirements.txt
uvicorn main:app --reload
```
后端 API 将运行在:
```
http://localhost:8000
```
API 文档:
```
http://localhost:8000/docs
```
# 前端设置
```
cd frontend
npm install
npm run dev
```
前端仪表板将运行在:
```
http://localhost:3000
```
# 项目结构
```
soc-platform
│
├── backend
│ ├── routes
│ ├── models
│ ├── services
│ ├── database
│ └── main.py
│
├── frontend
│ ├── app
│ ├── components
│ ├── styles
│ └── lib
│
├── screenshots
│
└── README.md
```
# 未来改进
可能的未来增强功能:
* 基于机器学习的攻击检测
* 网络数据包检查
* 自动化威胁关联
* SOC 自动化工作流
* 与外部威胁情报源集成
# 作者
**Viyom Jagtap**
网络安全与软件开发爱好者
GitHub:
https://github.com/Viyom26
### 威胁情报模块
### 实时网络监控
# 架构
## 前端
* Next.js
* TypeScript
* TailwindCSS
* Recharts (安全分析可视化)
## 后端
* FastAPI
* Python
* SQLAlchemy
* GeoIP Intelligence
# 模块
## 日志解析器
上传并解析安全日志,例如:
* 防火墙日志
* IDS / IPS 日志
* 网络活动日志
* 安全告警
这些日志被规范化为结构化事件以供分析。
## 威胁情报
使用以下信息丰富日志数据:
* IP 声誉评分
* 地理位置情报
* 威胁上下文信息
这有助于分析师了解 IP 地址是否具有潜在恶意。
## 实时网络监控
显示来自受监控基础设施的活动网络连接和流量行为。
安全团队可以观察:
* 源和目标连接
* 活跃通信模式
* 可疑活动
## MITRE ATT&CK 映射
将检测到的行为模式映射到 **MITRE ATT&CK 技术**,使分析师能够了解攻击者的战术和技术。
## 风险引擎
使用以下因素计算风险评分:
* 事件严重程度
* 事件频率
* 威胁情报结果
* 行为指标
## 事件调查面板
允许分析师点击攻击者 IP 并查看:
* 完整的攻击时间线
* 目标系统
* 严重程度历史
* 涉及的 MITRE 技术
这模拟了真实的 **SOC 分析师调查工作流**。
# 安装
## 克隆仓库
```
git clone https://github.com/Viyom26/soc-platform.git
cd soc-platform
```
# 后端设置
```
cd backend
pip install -r requirements.txt
uvicorn main:app --reload
```
后端 API 将运行在:
```
http://localhost:8000
```
API 文档:
```
http://localhost:8000/docs
```
# 前端设置
```
cd frontend
npm install
npm run dev
```
前端仪表板将运行在:
```
http://localhost:3000
```
# 项目结构
```
soc-platform
│
├── backend
│ ├── routes
│ ├── models
│ ├── services
│ ├── database
│ └── main.py
│
├── frontend
│ ├── app
│ ├── components
│ ├── styles
│ └── lib
│
├── screenshots
│
└── README.md
```
# 未来改进
可能的未来增强功能:
* 基于机器学习的攻击检测
* 网络数据包检查
* 自动化威胁关联
* SOC 自动化工作流
* 与外部威胁情报源集成
# 作者
**Viyom Jagtap**
网络安全与软件开发爱好者
GitHub:
https://github.com/Viyom26标签:AMSI绕过, AV绕过, Cloudflare, Elastic, FastAPI, GeoIP, IDS/IPS, IP信誉分析, MITRE ATT&CK, Mutation, Python, Recharts, SQLAlchemy, TailwindCSS, TypeScript, WebSocket, 事件关联, 事件调查, 仪表盘, 依赖分析, 前后端分离, 可视化, 威胁情报, 威胁检测, 安全信息与事件管理, 安全可视化, 安全插件, 安全运营中心, 开发者工具, 搜索引擎爬取, 数据大屏, 无后门, 日志解析, 时间线生成, 网络安全, 网络映射, 网络流量分析, 证书伪造, 逆向工具, 防火墙日志, 隐私保护