dhruthinreddy01/EdgeDefender-Security-Monitoring-Incident-Response-Platform

# EdgeDefender-Security-Monitoring-Incident-Response-Platform EdgeDefender – 企业安全监控与事件响应平台 ## 概述 EdgeDefender 是一个网络安全项目，通过提供集中式日志监控、基于规则的威胁检测和事件响应功能，模拟真实世界的安全运营中心 (SOC) 环境。 现代组织从防火墙、认证服务器、端点和网络基础设施等系统生成大量安全日志。安全团队必须分析这些日志以识别可疑活动并响应潜在威胁。 EdgeDefender 展示了安全监控系统如何通过收集日志、分析事件、检测可疑行为以及向安全分析师展示可操作的警报来工作。 本项目侧重于实用的网络安全概念，如日志分析、威胁检测工程、事件关联和安全监控架构。 ## 主要功能 ### 集中式日志收集 该平台从模拟的企业基础设施收集日志，包括： * 防火墙日志 * 认证日志 * 服务器活动日志 * 网络访问日志 所有日志都被标准化为结构化格式以供分析。 ### 基于规则的威胁检测 检测引擎分析传入的日志，并根据预定义的安全规则触发警报，例如： * 多次登录失败尝试 * 来自异常 IP 地址的访问 * 权限提升尝试 * 非工作时间内的登录活动 * 可疑的出站网络连接 ### 事件关联 EdgeDefender 不会为每个事件生成独立的警报，而是将相关事件分组以形成单个安全事件，从而提高调查效率。 ### 警报优先级排序 ### 检测到的事件按严重程度分类： * 低 * 中 * 高 * 严重 这有助于分析师优先处理最危险的威胁。 ### SOC 监控仪表板 Web 仪表板为安全分析师提供： * 实时警报监控 * 事件调查面板 * 日志搜索功能 * 安全活动概览 ### 安全访问控制 系统实施基于角色的访问控制 (RBAC) 来管理分析师对平台的访问。 ## 系统架构 该平台采用模块化架构，旨在模拟企业安全监控系统。 ### 组件包括： * **日志摄取层** – 收集并处理安全日志 * **检测引擎** – 应用安全规则并识别可疑事件 * **事件关联模块** – 将相关警报分组为事件 * **数据库** – 存储日志和事件数据 * **SOC 仪表板** – 提供可视化与调查界面 * **认证系统** – 管理安全分析师访问权限 ## 使用的技术 ### 后端 * Python * FastAPI / Flask ### 前端 * React.js ### 数据库 * MongoDB / PostgreSQL ### 安全 * JWT Authentication * Role-Based Access Control (RBAC) ### 其他 * 用于系统通信的 REST API ## 安装 克隆仓库： 进入项目目录： 安装依赖项： 运行后端服务器： 启动前端： # 示例用例 1. 用户重复尝试使用错误的凭据登录。 2. 系统检测到多次登录失败尝试。 3. 检测引擎触发安全警报。 4. 事件关联模块将相关事件分组。 5. SOC 仪表板显示带有严重级别和调查详情的事件。 此过程模拟了真实 SOC 团队如何检测和响应潜在的网络威胁。 ## 学习成果 ### 通过本项目，演示了以下网络安全概念： * 安全日志分析 * 威胁检测规则创建 * 安全事件关联 * SOC 监控工作流 * 警报优先级排序与调查 * 安全应用程序架构 # 未来改进 * 与 SIEM 平台集成 * 自动化事件响应操作 * 基于机器学习的异常检测 * 实时流式日志摄取 * 与威胁情报源集成

标签：AMSI绕过, EDR, FOFA, HTTP/HTTPS抓包, IP 地址批量处理, meg, PB级数据处理, PE 加载器, 云计算, 企业安全, 信息安全, 免杀技术, 告警分级, 威胁检测, 安全事件关联, 安全仪表盘, 安全编排与自动化, 安全运维, 安全运营中心, 审计日志, 异常检测, 态势感知, 日志归集, 暴力破解检测, 模拟仿真环境, 测试用例, 特权升级检测, 网络安全, 网络映射, 网络资产管理, 脆弱性评估, 规则引擎, 逆向工具, 防火墙日志, 隐私保护