oams84/Securepulse-soc-dashboard
GitHub: oams84/Securepulse-soc-dashboard
一个面向医疗设备的 SOC 仪表板,通过 IOC 与异常检测实现威胁监测与风险评分。
Stars: 0 | Forks: 0
# 🔐 SecurePulse SOC 仪表板
### 医疗设备的安全运营中心(SOC)仪表板
威胁检测 • 风险评分 • MITRE ATT&CK 映射 • 异常检测
## 🎯 项目概述
**SecurePulse** 是一个端到端的网络安全应用程序,用于模拟真实的**安全运营中心(SOC)**环境,以监控连接的医疗设备。
该平台使用以下技术检测和分析安全威胁:
- IOC(妥协指标)情报
- 行为异常检测
- MITRE ATT&CK 框架映射
- 基于风险的设备评分
该项目展示了在**威胁检测、SOC 工作流和安全分析**方面的实践经验。
## 🚀 核心能力
### 🖥️ 设备风险监控
- 动态风险评分(低 / 中 / 高)
- 检测:
- 过期固件
- 登录失败尝试
- 可疑的网络活动
### 🚨 威胁检测与告警
- IOC 观察列表匹配(恶意 IP 检测)
- 暴力破解攻击检测
- 恶意软件活动检测
- 可疑出站连接监控
### 🧠 异常检测引擎
- 事件激增检测(数量异常)
- 非工作时间访问检测
- 高严重性升级跟踪
- 行为模式分析
### 🛡️ MITRE ATT&CK 集成
将告警映射到真实的攻击战术和技术:
- 命令与控制(T1071)
- 凭证访问(T1110)
- 执行(T1204)
- 防御规避(T1601)
- 影响(T1499)
### 📊 SOC 仪表板
- 带有搜索/筛选功能的告警仪表板
- 设备清单与风险概览
- 事件时间线可视化
- 分析师友好界面
### 📄 报告与导出
- 生成结构化的 **CSV 报告**
- 导出专业的 **PDF 安全报告**
- 执行摘要生成
## 🛠️ 技术栈
| 类别 | 技术 |
|------------|------|
| 后端 | Python, Flask |
| 数据库 | SQLite |
| 前端 | HTML, CSS |
| 报告 | ReportLab |
| 检测逻辑 | Python(自定义 SOC 规则与异常检测) |
### ⚙️ 安装说明
### 克隆仓库
```
git clone https://github.com/oams84/Securepulse-soc-dashboard.git
cd Securepulse-soc-dashboard
```
### 创建虚拟环境
```
python -m venv venv
venv\Scripts\activate
```
### 安装依赖
```
pip install flask reportlab
```
### 运行应用程序
```
python app.py
```
### 访问仪表板
```
http://127.0.0.1:5000
```
## 📥 上传日志
SecurePulse 允许用户上传日志数据以进行威胁检测和分析。
### 支持格式
日志必须作为 **CSV 文件** 上传,包含以下列:
device_name,event_type,severity,source_ip,destination_ip,event_time
### 示例日志条目
Vital Signs Monitor D4,malware_detected,High,10.0.0.5,185.22.1.10,2026-04-15 13:25:00
### 📂 上传日志的步骤
- 启动应用程序:
```
python app.py
```
- 打开 Web 界面:
```
```
- 导航至:
👉 上传日志
选择你的 CSV 文件
点击上传
🔍 上传后会发生什么
日志上传后,SecurePulse 将:
- 将日志存储在数据库中
- 分析事件中的可疑活动
检测:
- 恶意软件活动
- 暴力破解登录尝试
- 可疑 IP 通信(IOC 匹配)
- 异常行为模式
- 生成映射到 MITRE ATT&CK 的告警
⚠️ 注意事项
请确保时间戳遵循以下格式:
YYYY-MM-DD HH:MM:SS
### 🧪 实际应用场景
- 监控连接到医院的设备以识别网络安全风险
- 检测与已知威胁基础设施的恶意通信
- 识别暴力破解登录尝试和可疑行为
- 分析异常设备活动模式
- 为管理层生成 SOC 级别安全报告
### 📈 未来的增强功能
- 🔐 基于角色的访问控制(SOC 分析师登录)
- ⚡ 实时告警流(WebSockets)
- 📊 SIEM 风格的仪表板和关联引擎
- 🌐 云部署(AWS / Docker)
- 🔍 与外部威胁情报源集成
标签:AMSI绕过, Cloudflare, CSV, DInvoke, Flask, GPT, HTTP/HTTPS抓包, IOC, IP 地址批量处理, MITRE ATT&CK, PDF, Python, SQLite, T1071, T1110, T1204, T1499, T1601, 仪表盘, 健康管理, 前端, 医疗安全, 医疗物联网, 医疗设备安全, 合规, 后端, 固件安全, 多模态安全, 威胁检测, 安全运营中心, 异常检测, 态势感知, 报告导出, 指标妥协, 搜索语句(dork), 无后门, 漏洞管理, 物联网安全, 网络映射, 逆向工具, 配置错误, 风险评分