Shaivarth/SOC-X-Sentinel

# SOC-X Sentinel 一个实时 SOC 模拟平台，通过实时的 SIEM 风格仪表板检测、分析和可视化网络安全威胁。 ## 概述 SOC-X Sentinel 是一个专注于网络安全的 Security Operations Center (SOC) 模拟平台，旨在模拟真实的蓝队监控工作流。 该项目模拟了： * 通过基于 Python 的日志生成安全遥测数据 * 攻击检测管道 * 实时告警处理 * SIEM 风格的威胁可视化 * 威胁严重性分析 * 交互式 SOC 分析师工作流 SOC-X Sentinel 作为一个实时检测管道运行，能够持续生成遥测数据并进行动态威胁可视化。 # 开发环境 我在一个专用的 Linux 虚拟机环境中全面开发了 SOC-X Sentinel，以模拟真实的 SOC 工程工作流。 ## 所用基础设施 * Ubuntu Linux 虚拟机 * macOS 上的 UTM 虚拟化 * 远程 SSH 开发工作流 * VS Code Remote SSH 集成 * Python 虚拟环境 ## Linux 开发工作流 SOC-X Sentinel 是在一个专用的 Ubuntu 虚拟机内使用基于 Linux 的安全工程工作流开发的。  该环境用于： - 通过 VS Code 进行远程 SSH 开发 - 基于 Git 的版本控制操作 - 实时仪表板执行 - 威胁遥测数据生成 - 检测引擎监控 - 虚拟化 SOC 实验室模拟 项目结构、实时服务和监控管道直接在 Linux 终端环境中管理，有时也使用 VS Code 的多终端进行管理。 ## VS Code Remote SSH 工作流 我使用 VS Code Remote SSH 连接到在 macOS 上通过 UTM 虚拟化运行的专用 Ubuntu 虚拟机，创建了一个隔离的、基于 Linux 的网络安全工程环境，用于开发、测试和管理 SOC-X Sentinel。  ## 开发工作流 该项目使用远程开发设置进行工程设计： ``` macOS Host Machine ↓ Linux Virtual Machine (Ubuntu) ↓ Remote SSH Connection ↓ VS Code Remote Development ↓ Cybersecurity Engineering Environment ``` 此设置实现了： * 隔离的安全测试 * Linux 原生开发 * 真实的 SOC 工程工作流 * 远程基础设施管理 * 多终端监控管道 * 虚拟化网络安全实验室模拟 **仪表板、检测引擎、遥测生成器和 GitHub 部署管道均通过此远程 Linux 开发环境进行管理。** ## 仪表板预览 ### 主仪表板  ### 实时告警推送  ### 威胁分析  ## 核心功能 ### 实时遥测管道 * 持续的安全事件生成 * 模拟身份验证活动 * 动态威胁流量模拟 * 实时日志摄取 ### 检测工程 SOC-X Sentinel 目前可检测： * SSH 暴力破解攻击 * 密码喷洒攻击 * 用户枚举尝试 * 可疑管理员登录 * 多会话滥用 ### 实时 SIEM 仪表板 * 实时告警推送 * 自动刷新遥测数据 * 基于严重性的告警 * 威胁分析图表 * 交互式告警面板 * 分析师工作流控制 ### MITRE ATT&CK 映射 每个生成的告警包括： * MITRE ATT&CK 技术映射 * 严重性分类 * 源 IP 遥测 * 威胁元数据 ### SOC 工作流模拟 * 调查告警 * 升级告警 * 抑制告警 * 实时分析师交互 ## 系统架构

## 技术栈 ### 后端 : * Python 3 * Flask * 基于 JSON 的遥测处理 ### 前端 : * HTML5 * CSS3 * JavaScript * Chart.js ### 安全概念 : * SIEM 工作流 * 检测工程 * 威胁遥测 * SOC 运营 * MITRE ATT&CK 映射 * 日志分析 ## 项目结构 ``` SOC-X-Sentinel/ │ ├── scripts/ │ ├── log_generator.py │ ├── alert_engine.py │ └── dashboard.py │ ├── logs/ │ ├── auth.log │ └── alerts.json │ ├── templates/ │ └── index.html │ ├── static/ │ ├── css/ │ │ └── style.css │ └── js/ │ └── app.js │ ├── screenshots/ │ ├── requirements.txt ├── README.md └── .gitignore ``` # 安装 ## 克隆仓库 ``` git clone https://github.com/Shaivarth/SOC-X-Sentinel.git cd SOC-X-Sentinel ``` ## 安装依赖 ``` pip install -r requirements.txt ``` ## 运行项目 ### 终端 1 — 启动遥测生成器 ``` cd scripts python3 log_generator.py ``` ### 终端 2 — 启动检测引擎 ``` cd scripts python3 alert_engine.py ``` ### 终端 3 — 启动仪表板 ``` cd scripts python3 dashboard.py ``` ## 打开仪表板 ``` http://127.0.0.1:5000 ``` ## 检测工作流 ``` Telemetry Generation ↓ Authentication Logs ↓ Threat Detection Engine ↓ Alert Processing ↓ JSON Alert Storage ↓ Live SOC Visualization ``` ## 当前功能 | 功能 | 状态 | | --------------------------- | ----------- | | 实时告警推送 | 已实现 | | 基于严重性的检测 | 已实现 | | SIEM 风格仪表板 | 已实现 | | 交互式告警面板 | 已实现 | | 实时图表更新 | 已实现 | | MITRE ATT&CK 映射 | 已实现 | | 地理位置元数据 | 已实现 | | 增量告警流式传输 | 已实现 | ## 计划改进 未来路线图： * 基于 WebSocket 的实时流 * Docker 部署 * 持久化数据库存储 * 用户身份验证 * 分析师笔记系统 * 威胁情报源 * Sigma 规则集成 * Elastic/Splunk 集成 * 威胁地图可视化 * 报告导出系统 ## 为什么这个项目很重要 我设计“SOC-X Sentinel”是为了超越初级的网络安全项目，模拟真实的 SOC 工程概念。 该项目侧重于： * 检测工程 * 安全遥测管道 * 实时监控 * SIEM 风格的工作流 * SOC 分析师交互 目标是构建一个类似于运行中的蓝队基础设施的系统，而不是孤立的安全脚本。 ## 作者 Sarthak Mishra 网络安全 | SOC 工程 | 检测工程 | 蓝队 ## 许可证 本项目基于 MIT 许可证授权。

标签：AMSI绕过, Homebrew安装, HTTP/HTTPS抓包, Mutation, Python, SSH, UTM, VS Code, 可视化, 告警处理, 威胁分析, 威胁检测, 安全仿真, 安全实验室, 安全工程, 安全运营, 安全运营中心, 态势感知, 扫描框架, 数据可视化, 无后门, 日志生成, 模拟平台, 生成式AI安全, 网络安全, 网络映射, 自动化侦查工具, 虚拟机, 赛博安全, 隐私保护