KickingCyb3r/Sentinel-SOC-Platform
GitHub: KickingCyb3r/Sentinel-SOC-Platform
AI 驱动的浏览器端一线 SOC 分析师工作站,整合告警分诊、威胁情报查询与 MITRE ATT&CK 映射,帮助安全团队高效完成事件调查与响应工作流。
Stars: 0 | Forks: 0
# SENTINEL — 一线 SOC 分析师平台
**[🔗 在线演示](https://kickingcyb3r.github.io/Sentinel-SOC-Platform/soc-analyst-v3.html)** | **[📄 案例研究](https://medium.com/@kickingcyb3r/tier-1-soc-analyst-case-study-report-270e265da7b3)**
# 概述
SENTINEL 是一个基于浏览器的 SOC 分析师工作站,旨在模拟企业安全运营中心的工作流程。
该平台允许分析师:
- 对告警进行分诊和优先级排序
- 调查失陷指标 (IOC)
- 审查威胁情报
- 映射 MITRE ATT&CK 技术
- 执行响应剧本
- 记录事件
- 模拟 SIEM 驱动的调查
在整个告警生命周期中,Anthropic Claude 为 AI 辅助的调查总结和分析师支持提供底层能力。
# 功能
## 告警控制台
- 实时告警队列
- 基于严重程度的优先级排序
- 风险评分可视化
- 告警生命周期管理
- 误报消除
- 升级追踪
## AI 辅助调查
- AI 生成的调查总结
- 攻击者意图分析
- 建议的响应措施
- 上下文感知的分析师对话
- 感知 MITRE ATT&CK 的分析
## 威胁情报
- VirusTotal 集成
- AbuseIPDB 集成
- IOC 信誉分析
- 威胁评分和检测可见性
- IP、域名、URL 和哈希调查
- 批量 IOC 分析
## 调查工作区
每个告警包含:
- 概览
- 威胁情报
- 时间线
- 原始日志
- AI 对话
附加功能:
- 时间线重建
- 驻留时间可见性
- 剧本执行追踪
- MITRE ATT&CK 标记
## SIEM 集成
支持以下系统的 webhook 集成:
- Splunk
- Elastic SIEM
- Microsoft Sentinel
- IBM QRadar
- Google Chronicle
- 通用 JSON webhook
# 技术栈
| 层级 | 技术 |
| --- | --- |
| 前端 | HTML, CSS, JavaScript |
| AI 分析 | Anthropic Claude Sonnet |
| 威胁情报 | VirusTotal API, AbuseIPDB API |
| 后端 | Node.js / Express |
| 部署 | GitHub Pages |
# 架构
```
Browser Dashboard
│
├── Alert Queue
├── AI Analysis Module
├── Threat Intelligence Module
└── SIEM Integration Layer
```
后端代理负责处理:
- API 密钥安全
- CORS 管理
- 外部 API 通信
- AI 请求路由
# 入门指南
## 方式 1 — 仅 UI
下载 `soc-analyst-v3.html` 并在浏览器中打开。
可用功能:
- 告警队列
- 威胁调查工作流
- 时间线分析
- 剧本追踪
- SIEM 模拟
AI 功能需要后端 API 集成。
## 方式 2 — 完整功能
### 环境要求
- Node.js 18+
### 克隆仓库
```
git clone https://github.com/KickingCyb3r/Sentinel-SOC-Platform.git
cd Sentinel-SOC-Platform
```
### 安装依赖
```
cd proxy
npm install
```
### 配置环境变量
```
cp .env.example .env
```
将你的 API 密钥添加到 `.env`:
ANTHROPIC_API_KEY=your_key_here
VIRUSTOTAL_API_KEY=your_key_here
ABUSEIPDB_API_KEY=your_key_here
PORT=3000
### 启动代理服务器
```
npm start
```
### 打开仪表盘
## http://localhost:3000
# SIEM Webhook 格式
```
{
"alert_id": "ALT-2024-001",
"severity": "HIGH",
"source": "Splunk",
"host": "finance-server-01",
"src_ip": "192.168.1.50",
"user": "jdoe",
"action": "BLOCKED",
"mitre": ["T1078"],
"raw_log": "sample log data"
}
```
# 调查工作流
```
1. Review Alert Queue
2. Prioritize Risk
3. Investigate Alert
4. Analyze Threat Intelligence
5. Review Timeline & Logs
6. Execute Response Playbook
7. Document Findings
8. Escalate or Close Incident
```
# MITRE ATT&CK 覆盖范围
| 技术 | ID |
| --- | --- |
| 凭据填充 | T1110.004 |
| 有效账户 | T1078 |
| 哈希传递 | T1550.002 |
| 为产生数据影响而加密 | T1486 |
| DNS 命令与控制 | T1071.004 |
| 滥用提权控制: Sudo | T1548.003 |
| 从云存储对象获取数据 | T1530 |
# 项目背景
SENTINEL 作为一个实践性网络安全作品集项目构建,旨在展示实用的一线 SOC 分析师能力,包括:
- SOC 运营和告警分诊
- 威胁情报分析
- 事件响应工作流
- SIEM 集成架构
- AI 辅助安全调查
# 路线图
- [ ] 攻击活动关联引擎
- [ ] Sigma/KQL 规则生成
- [ ] 分析师绩效追踪
- [ ] PDF 事件报告导出
# 许可证
MIT 许可证 — 可免费使用、修改和分发,但需注明出处。
# 联系方式
**Jarius Glover** — 网络安全 | SOC 运营 | 威胁分析
- LinkedIn: [linkedin.com/in/jariusglover1](https://linkedin.com/in/jariusglover1)
- GitHub: [github.com/KickingCyb3r](https://github.com/KickingCyb3r)
- Medium: [medium.com/@kickingcyb3r](https://medium.com/@kickingcyb3r)
标签:AbuseIPDB集成, AI辅助, CISA项目, Claude Sonnet, Elastic SIEM, IP 地址批量处理, MITM代理, MITRE ATT&CK映射, SIEM仿真, SIEM集成, SOC分析师, VirusTotal集成, 一级SOC, 剧本执行, 升级跟踪, 后端开发, 告警优先级排序, 告警分诊, 告警生命周期管理, 基于浏览器, 多模态安全, 大语言模型(LLM), 失陷标示(IOC)调查, 威胁情报, 威胁评分, 安全事件文档记录, 安全分析工作站, 安全编排自动化与响应(SOAR), 安全运营, 安全运营中心, 应急响应工作流, 开发者工具, 扫描框架, 插件系统, 数据可视化, 无线安全, 网络安全防御, 网络映射, 误报处理, 防御绕过