🔭 Sentinel

AI 驱动的安全运营中心

您不知疲倦的 SOC 分析师 — 检测威胁、关联事件、自动响应。

## 为什么选择 Sentinel？ 传统的 SIEM 价格昂贵、复杂，且需要团队来运营。Sentinel 将**统计异常检测**、**兼容 Sigma 的规则匹配**、**威胁情报源**和**LLM 驱动的分析**整合到一个开箱即用的自托管平台中。 ## ✨ 功能特性 - 📥 **实时日志采集** — Syslog (UDP/TCP)、文件监控、网络捕获、API 收集器 - 🧠 **AI 驱动的分析** — LLM 解读可疑模式并用通俗语言解释威胁 - 📈 **异常检测** — 统计（z-score, IQR）、行为基线、暴力破解、端口扫描、数据渗出、权限提升检测 - 📜 **规则引擎** — 基于且兼容 Sigma 的 YAML 规则，内置 20+ 检测项 - 🌐 **威胁情报** — AbuseIPDB、AlienVault OTX 源、IOC 检查、暗网监控 - ⚡ **自动响应** — IP 封禁、进程终止、主机隔离、Webhook/WhatsApp 告警、事件工单 - 🔗 **事件关联** — 在可配置的时间窗口内链接相关事件 - 🎯 **实时仪表盘** — 暗色主题的实时 UI，包含事件流、威胁仪表、攻击地理图谱、告警时间轴 - 🔌 **REST API** — 完整的 Flask API，可与现有工具集成 ## 🚀 快速开始 ``` git clone https://github.com/juliosuas/sentinel.git && cd sentinel cp .env.example .env # Add your API keys docker-compose up -d # → http://localhost:8080 ``` ## 📸 截图

截图即将推出 — 实时仪表盘、攻击地图、告警时间轴、事件响应