Daniel-Gehlen/edr-sim

# EDR-SIM - Endpoint Detection & Response 模拟器 🛡️ **EDR-SIM** 是一个高保真的企业级模拟平台，旨在展示 **Endpoint 安全分析师 (EDR/XDR/NGAV)** 的核心能力。该项目被设计为一个培训和演示环境，模拟器涵盖了安全运营的全生命周期，从检测、调查到自动化响应。 ## 🚀 技术与技巧 ### 技术栈 * **Frontend**: React 18 + Vite 6 * **样式**: Tailwind CSS v4 (为 Cyber-Dark 主题定制的 Design System) * **图表**: Recharts，用于遥测数据可视化和热力图。 * **持久化**: 基于 `localStorage` 实现的 `StorageService`，用于在无服务器环境中模拟持久化数据库 (ideal para GitHub Pages ou Vercel)。 * **导航**: React Router，用于构建模块化的 SPA 架构。 * **引导**: React Joyride，用于引导新分析师熟悉平台。 ### 实现的技巧 * **警报分类**: 基于严重程度 的优先级划分逻辑。 * **MITRE ATT&CK® 映射**: 与对抗战术和技术框架的技术集成。 * **响应编排 (SOAR)**: 用于遏制、根除和恢复的自动化工作流。 * **检测调优**: SIGMA 规则管理和例外列表，以减少警报疲劳。 ## 🏗️ 架构与目录树 该项目的结构设计为模块化且可扩展的，便于未来轻松添加新的安全模块或与真实的 API 进行集成。 ``` edr-sim/ ├── src/ │ ├── modules/ # Módulos Funcionais do Simulador │ │ ├── dashboard/ # Centro de Comando e Estatísticas │ │ ├── alerts/ # Investigação e Triação de Alertas │ │ ├── endpoints/ # Inventário e Isolamento de Hosts │ │ ├── mitre/ # Matriz interativa MITRE ATT&CK │ │ ├── incidents/ # Orquestração de Resposta (SOAR) │ │ ├── rules/ # Tuning de Regras e Exceções │ │ ├── troubleshooting/ # Diagnósticos da Plataforma │ │ ├── reports/ # Relatórios e Briefing Executivo │ │ └── integrations/ # Gestão do Stack de Segurança │ ├── services/ # Lógica de Persistência e Mock API │ ├── data/ # Dataset Inicial (Endpoints, Alertas, Técnicas) │ ├── App.jsx # Componente Raiz e Roteamento │ └── main.jsx # Ponto de entrada do React ├── public/ # Ativos Estáticos (Ícones, SVGs) ├── index.html # Template HTML principal └── vite.config.js # Configuração otimizada do Vite 6 ``` ## 🛡️ 用例与案例研究 ### 📂 案例 1：调查可疑的 PowerShell 执行 在主机 `WORKSTATION-05` 上触发了一个严重程度为 **Critical** 的警报。分析师使用 **Alerts** 模块查看技术细节 (T1059.001 - PowerShell)。通过 EDR-SIM，可以查看其与 MITRE 技术的关联，并按照响应 Playbook 终止恶意进程。 ### 📂 案例 2：Ransomware 事件响应 在模拟攻击期间，分析师使用 **Endpoints** 模块立即对易受攻击的服务器执行**网络隔离**。随后，在 **Incidents** 模块中触发“Eradication”Playbook，该 Playbook 会自动清理注册表项和临时文件，并将所有日志记录在交互式终端中。 ### 📂 案例 3：调整 SIGMA 规则以减少误报 环境针对合法的备份工具生成了过多的警报。分析师访问 **Tuning** 模块，基于官方二进制文件的 Hash 创建例外，从而将操作噪音降低了 40%，使 SOC 能够将精力集中在真正的威胁上。 ## 🛠️ 如何运行项目 ### 前置条件 - Node.js (v18 或更高版本) - NPM 或 Yarn ### 安装与运行 1. Clone 仓库或下载源代码。 2. 在终端中，安装依赖项： npm install 3. 启动开发服务器： npm run dev 4. 在浏览器中打开 `http://localhost:5173`。欢迎导览将自动启动！ ### 生产环境构建 ``` npm run build ``` 优化后的文件将生成在 `/dist` 目录中。

标签：Cloudflare, EDR, MITRE ATT&CK, NGAV, React, Recharts, Sigma规则, SOAR, Syscalls, Tailwind CSS, Vite 6, Web安全, 单页应用, 告警分类, 安全分析师, 安全模拟器, 安全编排与自动化响应, 安全运营, 扫描框架, 数据可视化, 检测调优, 漏洞修复, 目标导入, 端点检测与响应, 网络安全培训, 网络安全教学, 脆弱性评估, 脱壳工具, 自定义脚本, 蓝队分析, 高级威胁防御