xFuture-2027/CDUproject

# 威胁情报平台 该项目是一个全栈 CTI MVP，采用 Python FastAPI 后端和 React/Vite 前端构建。它聚合多种来源的网络威胁情报，使用轻量级 NLP 风格提取对非结构化文本进行增强，并在单一分析师仪表板中呈现告警、狩猎线索、合规映射和报告。 ## 报告包 - 最终报告草案：`docs/FINAL_REPORT.md` - 软件设计图：`docs/DIAGRAMS.md` - Figma 交付与原型指导：`docs/FIGMA_HANDOFF.md` - Viva 准备笔记：`docs/VIVA_GUIDE.md` - Figma 准备好的原型：`docs/mockups/` ## 核心功能 - 从多种来源类别收集数据：新闻、社交媒体、安全报告、协作动态和威胁源 - 使用基于规则的增强处理与分析，提取 IOC、战术、行业、标签、严重性和置信度 - 提供支持过滤、搜索和工作流状态更新的威胁情报源 API - 针对高风险威胁的告警与通知视图 - 支持严重性趋势、来源覆盖、执行摘要和控制映射的仪表板与报告 - 从观察到的战术和指标生成威胁狩猎包 - 通过共享源摄取与状态跟踪支持协作与信息共享 - 提供与 SIEM、EDR、SOAR、邮件网关、OT 监控和漏洞扫描器的集成指导 - 通过框架/控制映射实现合规性与监管可见性 ## 项目结构 ``` backend/ app/ database.py main.py models.py schemas.py seed_data.py services.py requirements.txt frontend/ src/ App.jsx main.jsx styles.css index.html package.json vite.config.js ``` ## 后端设置 ``` cd /Users/newstart/Documents/CDUproject/backend python3 -m venv .venv source .venv/bin/activate pip install -r requirements.txt uvicorn app.main:app --reload ``` API 将启动于 `http://127.0.0.1:8000`。在首次创建数据库时，会自动加载种子数据。 常用端点： - `GET /api/overview` - `GET /api/threats` - `POST /api/threats` - `PATCH /api/threats/{id}/status` - `GET /api/alerts` - `GET /api/hunts` - `GET /api/reports` - `GET /api/compliance` - `GET /api/integrations` ## 前端设置 ``` cd /Users/newstart/Documents/CDUproject/frontend npm install npm run dev ``` 前端运行在 `http://127.0.0.1:5173`，默认情况下后端地址为 `http://127.0.0.1:8000`。 如果需要使用不同的后端地址： ``` VITE_API_BASE_URL=http://127.0.0.1:8000 npm run dev ``` ## 测试 后端冒烟测试： ``` cd /Users/newstart/Documents/CDUproject/backend source .venv/bin/activate pip install -r requirements-dev.txt pytest ``` 前端生产构建： ``` cd /Users/newstart/Documents/CDUproject/frontend npm install npm run build ``` ## 示例威胁摄取载荷 ``` { "title": "New phishing campaign targets managed service providers", "source_name": "Analyst Submission", "source_type": "news", "url": "https://example.com/custom-threat", "content": "Researchers observed phishing lures collecting credentials and abusing trusted remote access workflows. Indicators include CVE-2025-2000 and domain secure-helpdesk-login.net.", "published_at": "2026-04-08T11:00:00Z", "region": "Australia" } ``` ## 建议后续步骤 - 使用真实连接器替换演示种子源，涵盖 RSS 源、社交 API 和报告摄取管道 - 添加身份验证、基于角色的访问控制与审计日志 - 引入异步任务工作器以支持大规模增强与去重 - 在需求成熟后，将基于规则的 NLP 层替换为 Transformer 流水线或 LLM 增强提取

标签：AV绕过, EDR集成, FastAPI, HTTP/HTTPS抓包, IOC提取, masscan, MVC架构, NLP提取, OT监控, Python后端, REST API, SEO, SIEM集成, SOAR集成, Vite, 严重性等级, 代理支持, 仪表盘, 信息共享, 关键词, 前端React, 协作馈送, 合规映射, 告警, 多源聚合, 威胁情报, 威胁情报平台, 威胁馈流, 安全报告, 工作流状态, 开发者工具, 态势感知, 执行摘要, 报告, 控制映射, 数据库, 新闻聚合, 漏洞扫描器集成, 社交媒体监控, 种子数据, 置信度, 自定义脚本, 行业标签, 规则富集, 过滤搜索, 逆向工具, 邮件网关集成