azeem7012/soc-platform
GitHub: azeem7012/soc-platform
一个基于 React 和 Flask 构建的全栈 SOC 仪表盘,实现日志告警的实时分类、MITRE ATT&CK 映射、IP 风险评分和威胁狩猎功能。
Stars: 0 | Forks: 0
## 项目报告
[📄 查看完整项目报告](./SOC_Platform_Report_Azeem.pdf)
# SOC 检测与威胁狩猎平台
一个全栈安全运营中心 (SOC) 仪表盘,用于实时警报分类、MITRE ATT&CK 映射、IP 风险评分和威胁狩猎。
该项目是基于自定义基于日志的 IDS 构建的扩展,该 IDS 能够通过真实的 auth.log 和 syslog 数据检测 SSH 暴力破解 (T1110)、端口扫描 (T1046) 和 Web 枚举攻击。
## 功能
- **实时警报源** — 带有严重性徽章的实时警报分类
- **MITRE ATT&CK 热力图** — 已检测技术的可视化映射
- **IP 风险评分** — 基于严重性和频率为每个源 IP 自动计算风险评分
- **威胁狩猎面板** — 按 IP、技术 ID 或严重性搜索和过滤警报
- **VirusTotal 富化** — 通过 VT API 对源 IP 进行 IOC 查询
- **事件关联** — 按源 IP 分组警报以识别攻击链
## 技术栈
| 层级 | 技术 |
|----------|-----------------------------------|
| 前端 | React, Tailwind CSS, Axios |
| 后端 | Python, Flask, Flask-CORS |
| 情报 | VirusTotal API v3 |
| 数据 | 自定义基于日志的 IDS 警报输出 |
| 映射 | MITRE ATT&CK Framework |
## API 端点
| 方法 | 端点 | 描述 |
|--------|---------------------|------------------------------------|
| GET | /api/alerts | 带有可选过滤器的所有警报 |
| GET | /api/stats | 仪表盘的汇总统计信息 |
| GET | /api/incidents | 按源 IP 分组的警报 |
| GET | /api/risk | 每个源 IP 的风险评分 |
| GET | /api/enrich/ | 对 IP 的 VirusTotal 富化信息 |
## 检测范围
| 技术 | 名称 | 战术 |
|-----------|-------------------------------|--------------------|
| T1110 | 暴力破解 | 凭据访问 |
| T1046 | 网络服务扫描 | 侦察 |
| T1190 | 利用面向公众的应用 | 初始访问 |
| T1078 | 有效账户 | 防御规避 |
## 项目结构
soc-platform/
├── backend/
│ ├── app.py
│ └── data/
│ └── alerts.json
└── frontend/
└── src/
├── App.js
└── components/
├── StatCard.jsx
├── AlertTable.jsx
├── MitreHeatmap.jsx
├── RiskScorePanel.jsx
└── ThreatHuntPanel.jsx
## 设置与运行
**后端:**
```
cd backend
python3 -m venv venv
source venv/bin/activate
pip install flask flask-cors requests
python app.py
```
**前端:**
```
cd frontend
npm install
npm start
```
打开 `http://localhost:3000`
## 截图
## 相关项目
- **基于日志的 IDS** — 将警报输入到本平台的检测引擎
- **Android APK 恶意软件沙盒** — 使用 MobSF 和 VirusTotal 的自动化移动安全管道
## 作者
**Azeem Abdulla**
SOC 分析师 (L1) | 网络安全毕业生
[LinkedIn](https://linkedin.com/in/azeem-abdulla) · [GitHub](https://github.com/azeem7012)
标签:Ask搜索, ATT&CK热力图, auth.log, Flask, FOFA, IOC查询, IP风险评分, MITRE ATT&CK映射, Python, React, SOC平台, SSH暴力破解, Syscalls, syslog, Tailwind CSS, Threat Hunting, VirusTotal, Web枚举, 事件关联分析, 入侵检测系统, 告警分流, 威胁情报, 安全数据湖, 安全运营中心, 开发者工具, 插件系统, 数据统计, 无后门, 端口扫描, 网络威胁检测, 网络安全, 网络映射, 自定义脚本, 逆向工具, 隐私保护