USH3R/BLUETEAM.-SentinelOps.-Defense-Detection-System-Dashboard

# **蓝队 - SentinelOps 防御安全模拟器**       一个受控的防御安全平台，用于模拟在受保护环境中监控、检测和响应可疑活动。 ✅ 模拟真实世界的防御操作 检测暴力破解登录尝试 识别异常登录和可疑行为 监控系统和网络事件的滥用情况 ✅ 遵循防御者工作流程 **流程链：** 日志收集（系统、网络、应用日志） 分析与关联（检测异常） 告警与响应（生成可操作的告警） 报告（结构化的事件摘要） **技术栈：** Python（自动化与分析） Docker（日志收集/测试环境） Bash 脚本 可选：轻量级 Web UI 或 CLI 仪表板 **功能：** 从多个来源集中摄取日志 实时检测可疑活动 基于规则的告警，用于暴力破解、不可能行程和进程异常 事件和攻击时间线的可视化 **检测模块：** 暴力破解登录检测 异常行为关联 可疑进程监控 **报告引擎：** 生成 PDF 或 HTML 格式的"事件报告" 为安全运营团队记录可操作的告警 # **蓝队 SentinelOps 结构** **主要文件 / 结构** blueteam-sentinelops/ ├── main.py ├── ingestion.py ├── detection.py ├── response.py ├── reporting.py ├── settings.yaml └── Dockerfile **蓝队工作流程** [检测] → [分析] → [响应] → [报告] 未来文件 / 结构 blueteam-sentinelops/ ├── orchestrator/                        # 控制检测 + 响应流程 ├── ingestion/                            # 日志收集 + 标准化 ├── detection_modules/                   # 检测规则 + 分析 ├── correlation/                          # 事件关联 + 异常逻辑 ├── response/                             # 自动化响应 / 剧本 ├── reporting/                            # 事件报告 + 仪表板 ├── lab_env/                              # 模拟日志源（攻击流量） └── rules_of_engagement/                  # 安全 + 合规 潜在 / 未来文件 / 结构 blueteam-sentinelops/ │ ├── README.md ├── LICENSE ├── requirements.txt ├── docker-compose.yml ├── docs/ │ ├── architecture.md │ ├── detection_workflow.md │ ├── nist_mapping.md │ └── rules_of_engagement.md ├── config/ │ ├── settings.yaml │ ├── detection_rules.yaml │ └── log_sources.yaml ├── lab_env/ │ ├── attacker_sim/ │ │ ├── brute_force.py │ │ └── traffic_gen.py │ ├── web_logs/ │ │ ├── Dockerfile │ │ └── access.log │ ├── auth_logs/ │ │ ├── Dockerfile │ │ └── auth.log │ └── system_logs/ │ ├── Dockerfile │ └── syslog.log ├── orchestrator/ │ ├── main.py │ ├── pipeline.py │ └── scheduler.py ├── ingestion/ │ ├── log_collector.py │ ├── parser.py │ └── utils.py ├── detection_modules/ │ ├── brute_force/ │ │ ├── detector.py │ │ └── thresholds.yaml │ ├── anomaly/ │ │ ├── impossible_travel.py │ │ └── behavior_model.py │ └── process_monitor/ │ └── suspicious_process.py ├── correlation/ │ ├── event_linker.py │ ├── timeline_builder.py │ └── logic.py ├── response/ │ ├── alert_manager.py │ ├── playbooks/ │ │ ├── brute_force_response.py │ │ ├── anomaly_response.py │ │ └── containment.py │ └── notifier.py ├── reporting/ │ ├── report_generator.py │ ├── templates/ │ │ ├── incident.html │ │ └── timeline.html │ └── output/ │ └── (生成的报告存放于此) ├── dashboard/ │ ├── app.py │ └── templates/ │ └── index.html ├── logs/ │ ├── events.log │ ├── alerts.log │ └── incidents.log └── tests/ ├── test_ingestion.py ├── test_detection.py ├── test_correlation.py └── test_pipeline.py **证明或展示以下内容：** 理解防御工作流程和 SOC 运营 自动化和分析技能 实时告警和报告 **👉 奖励：** "交战规则"部分，用于安全测试和道德处理模拟攻击 # **作品集背景** 此项目是完整网络安全作品集的一部分，展示了进攻性、防御性和安全系统设计工作流程的端到端能力： **红队（进攻安全模拟器）：** 模拟攻击者工作流程和渗透测试。 https://github.com/USH3R/REDTEAM.-Offensive-Security-Simulator **蓝队（SentinelOps）：** 检测威胁并生成可操作的事件报告。 **零信任（联邦文件共享系统）：** 构建安全的、可审计的、符合零信任标准的系统。 https://github.com/USH3R/ZEROTRUSTFS.-Security-Toolkit.-NPM-Containers.-Federal-File-Sharing-System./tree/main 这些项目共同展示了完整光谱的网络安全能力，说明作者可以在整个安全生命周期中攻击、防御和构建安全系统。 # **🛡️ 运行蓝队 SentinelOps 防御检测系统仪表板的说明** 使用 GitHub Codespaces（推荐） 1. 点击此仓库上的绿色 '<> Code' 按钮，然后 2. 选择名为 Codespaces 的选项卡，然后 3. 选择（点击）'Create codespace on main'。 4. 终端加载后，只需输入：     bash run.sh 5. 监控仪表板：系统将自动构建环境、启动扫描，并将防御仪表板结果输出到终端。 **⚠️ 重要：环境与安全** 封闭模拟：此工具包仅扫描自身。它监控容器环境中的专用 evidence.dat 文件和生成的日志。 无外部访问：此应用不会扫描您的本地硬件、打开网络端口或传输数据。 场景逻辑：检测到的"威胁"是随机模拟库的一部分，用于测试引擎的响应和报告能力。 **📊 理解输出** 扫描完成后，用户将收到一个 JSON 事件摘要，其中包括：     引擎状态：确认系统处于活动状态。     发现的告警：已识别异常的总数。     原始数据：扫描期间捕获的每个日志条目的细分，从常规维护到关键的"紧急"违规。

标签：AMSI绕过, Docker安全, FISMA合规, HTTP工具, Incident Response, Modbus, NIST合规, PE 加载器, Python安全工具, SOC实验室, 免杀技术, 合规性检测, 威胁情报, 威胁检测, 安全仪表板, 安全运营中心, 应用安全, 开发者工具, 异常登录检测, 日志收集, 暴力破解检测, 结构化查询, 网络映射, 自动化安全, 请求拦截, 逆向工具, 防御演练