Wsh7Ash/cybersec-threat-dashboard

# 区域网络安全威胁仪表板 [](LICENSE) [](CONTRIBUTING.md) 类似 SIEM 的开源工具（ELK stack + Python），聚合针对 **GCC 能源/政府领域**定制的开源威胁情报，提供阿拉伯语 UI 和勒索软件模式检测。 ## 🌍 为什么做这个项目？ - **网络威胁暴露程度高**：GCC 能源领域面临国家背景的 APT 和勒索软件攻击 - **特定行业威胁**：与全球平均水平不同——更多的是针对 ICS/SCADA 的攻击 - **语言障碍**：大多数工具缺乏针对本地 SOC 团队的阿拉伯语支持 - **开放性缺口**：缺乏包含 MENA 专属威胁源的开源工具 ## ✨ 功能特性 | 功能 | 描述 | |---------|-------------| | 🛡️ **威胁聚合** | 从 MISP、Abuse.ch、AlienVault OTX、CERT 源收集 | | 🔍 **ML 异常检测** | 检测勒索软件模式、信标活动、横向移动 | | 🏛️ **GCC 专属源** | 为能源、金融、政府部门策划的 IOC | | 🌐 **阿拉伯语 UI** | 支持 i18n 的完整阿拉伯语仪表板 | | 📊 **Kibana 仪表板** | 用于威胁狩猎的预构建可视化 | | ⚡ **实时警报** | 针对严重威胁的 Slack/电子邮件通知 | | 🔌 **SIEM 集成** | Splunk、QRadar、ArcSight 连接器 | | 📡 **API** | 用于威胁情报查询的 FastAPI | ## 📦 安装说明 ``` pip install cybersec-threat-dashboard ``` 或者使用 Docker： ``` docker-compose up -d ``` ## 🚀 快速开始 ### 启动仪表板 ``` cybersec-dashboard ``` ### 查询威胁情报 ``` from cybersec_dashboard import ThreatIntelAggregator agg = ThreatIntelAggregator() # 查询 IOC results = agg.query_ioc("192.0.2.1") print(f"Found {len(results)} threat intel records") ``` ### 异常检测 ``` from cybersec_dashboard import AnomalyDetector detector = AnomalyDetector() alerts = detector.analyze_network_traffic(logs) for alert in alerts: print(f"{alert.severity}: {alert.description}") ``` ## 🏗️ 系统架构 ``` Threat Sources → Logstash → Elasticsearch → Kibana ↓ Python Analyzer → ML Models → Alerts ``` ## 🌐 REST API | 端点 | 描述 | |----------|-------------| | `/threats` | 列出当前威胁 | | `/ioc/{indicator}` | 查询特定 IOC | | `/alerts` | 活动警报 | | `/stats` | 仪表板统计信息 | ## 🤝 贡献指南 参见 [CONTRIBUTING.md](CONTRIBUTING.md)。欢迎添加新的威胁源和解析器！ ## 📄 许可证 MIT 许可证 — 详见 [LICENSE](LICENSE)。 ## 🏷️ 标签 `#Cybersecurity` `#ThreatIntel` `#SIEM` `#MENA` `#GCC` ## 📬 联系方式 GitHub: [@Wsh7Ash](https://github.com/Wsh7Ash)

标签：Apex, ArcSight, AV绕过, Docker, ELK技术栈, FastAPI, GCC, ICS, IOC, IP 地址批量处理, MENA, NTLM Relay, PE 加载器, Python, QRadar, SCADA, 中东地区, 信标检测, 内容过滤, 勒索软件检测, 哈希传递, 国家级APT, 威胁情报仪表板, 威胁聚合, 安全防御评估, 开源网络安全, 异常检测, 政府部门, 无后门, 时间线生成, 机器学习, 横向移动, 编程规范, 能源行业, 请求拦截, 越狱测试, 逆向工具, 阿拉伯语UI