abhiiibabariya-dev/CyberNest

# CyberNest - SIEM + SOAR 平台     ## 功能 ### SIEM - **日志采集** — 从多个来源收集日志（syslog、CEF、API、基于文件、代理） - **日志解析与标准化** — 自动解析 syslog、CEF，提取 IP、主机名和元数据 - **检测引擎** — 基于 YAML 的关联规则，映射到 MITRE ATT&CK 框架 - **实时告警** — 基于严重级别的告警，支持 WebSocket 实时推送 - **日志搜索** — 全文搜索，支持严重级别、IP 和时间范围过滤 - **仪表盘** — SOC 分析师概览，包含统计数据、图表、MITRE ATT&CK 热力图 ### SOAR - **剧本引擎** — YAML 定义的自动化响应剧本，支持 7 种操作类型 - **编排** — 封禁 IP、隔离主机、禁用用户、丰富 IOC、创建工单、发送通知 - **案例管理** — 完整的生命周期管理，支持时间线追踪 - **自动化响应** — 告警触发或手动执行剧本 - **丰富化** — IOC 丰富化管道（可扩展至 VirusTotal、AbuseIPDB、Shodan） ## 截图 ## 快速开始 ### 方式一：脚本安装（推荐） ``` git clone https://github.com/abhiiibabariya-dev/CyberNest.git cd CyberNest # Linux/macOS chmod +x setup.sh run.sh ./setup.sh ./run.sh # Windows setup.bat run.bat ``` ### 方式二：Docker ``` git clone https://github.com/abhiiibabariya-dev/CyberNest.git cd CyberNest docker-compose up --build ``` ### 方式三：手动安装 ``` git clone https://github.com/abhiiibabariya-dev/CyberNest.git cd CyberNest # 创建虚拟环境 python -m venv venv source venv/bin/activate # Linux/macOS # venv\Scripts\activate # Windows # 安装依赖项 pip install -r backend/requirements.txt # 填充演示数据（100 个事件、15 个警报、5 个事件、6 个剧本） cd backend python seed.py # 启动服务器 python -m uvicorn main:app --reload --host 0.0.0.0 --port 8000 ``` **打开 http://localhost:8000** 并探索仪表盘。 ### 演示凭据 | 用户名 | 密码 | 角色 | |------|----------|------| | `admin` | `admin123` | 管理员 | | `analyst` | `analyst123` | 分析师 | ## 技术栈 | 组件 | 技术 | |-----------|-----------| | 后端 | Python 3.13 + FastAPI | | 数据库 | SQLite（开发）/ PostgreSQL（生产）| | 任务队列 | Celery + Redis（可选）| | 前端 | HTML/CSS/JS — 网络安全主题仪表盘 | | 配置 | 基于 YAML 的规则和剧本 | | API | RESTful + WebSocket（实时告警）| | 认证 | JWT + bcrypt | | 部署 | Docker / docker-compose | ## API 端点 ### 认证 | 方法 | 端点 | 描述 | |--------|----------|-------------| | POST | `/api/v1/auth/register` | 注册新用户 | | POST | `/api/v1/auth/login` | 登录，获取 JWT 令牌 | ### SIEM | 方法 | 端点 | 描述 | |--------|----------|-------------| | POST | `/api/v1/events/ingest` | 采集单条日志事件 | | POST | `/api/v1/events/ingest/batch` | 批量采集日志 | | GET | `/api/v1/events` | 搜索/列表事件 | | GET | `/api/v1/alerts` | 列表告警（按严重级别/状态过滤）| | PATCH | `/api/v1/alerts/{id}` | 更新告警状态 | | GET | `/api/v1/rules` | 列表检测规则 | | POST | `/api/v1/rules` | 创建检测规则 | | GET | `/api/v1/sources` | 列表日志源 | ### SOAR | 方法 | 端点 | 描述 | |--------|----------|-------------| | GET | `/api/v1/incidents` | 列表安全事件 | | POST | `/api/v1/incidents` | 创建安全事件 | | PATCH | `/api/v1/incidents/{id}` | 更新安全事件 | | GET | `/api/v1/playbooks` | 列表剧本 | | POST | `/api/v1/playbooks/{id}/run` | 执行剧本 | | GET | `/api/v1/playbooks/runs` | 列表剧本执行历史 | ### 仪表盘 | 方法 | 端点 | 描述 | |--------|----------|-------------| | GET | `/api/v1/dashboard/stats` | 完整仪表盘统计数据 | | WS | `/ws/alerts/live` | WebSocket 实时告警流 | ## 检测规则 CyberNest 使用位于 `config/rules/` 中的基于 YAML 的检测规则。内置规则： | 规则 | 严重级别 | MITRE ATT&CK | |------|----------|---------------| | 暴力破解登录 | 高 | T1110 | | SSH 暴力破解 | 高 | T1110.001 | | 可疑 C2 通信 | 严重 | T1071 | | 可疑 PowerShell | 严重 | T1059.001 | | 勒索软件特征 | 严重 | T1486 | | 端口扫描检测 | 中 | T1046 | | 数据外传 | 高 | T1048 | | 横向移动 | 高 | T1021 | | 权限提升 | 严重 | T1068 | | 新建管理员账户 | 高 | T1136 | ### 添加自定义规则 ``` name: My Custom Rule description: Detects something suspicious severity: high enabled: true alert_title: "Custom Alert Title" mitre_tactic: Execution mitre_technique: T1059 logic: or conditions: - field: message operator: contains value: "suspicious_keyword" - field: src_ip operator: equals value: "10.0.0.100" ``` ## SOAR 剧本 内置剧本位于 `config/playbooks/`： | 剧本 | 触发条件 | 操作 | |----------|---------|---------| | 封禁恶意 IP | 自动（告警）| 丰富 IOC、封禁 IP、创建工单、通知 SOC | | 禁用被入侵账户 | 手动 | 禁用用户、创建工单、通知团队 | | 隔离受感染主机 | 自动（严重）| 主机隔离、丰富 IOC、创建工单、通知 | ### 可用操作 | 操作 | 描述 | |--------|-------------| | `block_ip` | 在防火墙上封禁 IP | | `isolate_host` | 网络隔离终端 | | `disable_user` | 禁用用户账户 | | `enrich_ioc` | 使用威胁情报丰富 IOC | | `create_ticket` | 创建调查工单 | | `send_notification` | 发送告警至 Slack/邮件/PagerDuty | | `log` | 记录剧本操作 | ## 项目结构 ``` CyberNest/ ├── backend/ │ ├── main.py # FastAPI app entry point │ ├── seed.py # Demo data seeder │ ├── requirements.txt # Python dependencies │ ├── core/ # Auth, database, models, schemas, config │ ├── siem/ # Log parser, detection engine, ingest service │ ├── soar/ # Playbook engine, case manager │ └── api/ # REST API routes, WebSocket ├── frontend/ │ ├── index.html # Dashboard (9 pages) │ └── src/ # CSS + JavaScript ├── config/ │ ├── rules/ # YAML detection rules │ └── playbooks/ # YAML SOAR playbooks ├── Dockerfile # Container build ├── docker-compose.yml # One-command deployment ├── setup.sh / setup.bat # Quick setup scripts ├── run.sh / run.bat # Quick run scripts └── LICENSE ``` ## 路线图 - [ ] 真实 syslog UDP/TCP 监听器 - [ ] Sigma 规则导入支持 - [ ] VirusTotal / AbuseIPDB / Shodan 集成 - [ ] Slack / PagerDuty / 邮件通知 - [ ] PostgreSQL 生产数据库 - [ ] 告警关联引擎 - [ ] 终端日志采集代理 - [ ] PDF/CSV 安全事件报告 - [ ] MITRE ATT&CK Navigator 集成 - [ ] 前端基于角色的访问控制 - [ ] 审计日志 ## 贡献指南 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) 了解贡献指南。 ## 许可证 [MIT](LICENSE) **CyberNest** — 检测。响应。保护。

标签：AMSI绕过, AV绕过, Cloudflare, FastAPI, GPT, IOC丰富化, IP 地址批量处理, MITRE ATT&CK, OISF, PE 加载器, Python, SOAR, SOAR平台, TCP/IP协议栈, 仪表板, 信息收集自动化, 关联规则, 剧本引擎, 威胁情报, 威胁检测, 威胁检测工具, 安全信息和事件管理, 安全编排自动化响应, 安全运营, 安全运营中心, 开发者工具, 开源SIEM, 恶意命令检测, 扫描框架, 搜索引擎查询, 无后门, 日志摄取, 日志管理, 日志解析, 检测引擎, 横向移动检测, 测试用例, 漏洞管理, 热力图, 编排, 网络安全, 网络安全审计, 网络安全平台, 网络映射, 自动化响应, 证书伪造, 请求拦截, 隐私保护