Alessandro-Cordella/incident-response-toolkit

# 事件响应工具包 一个使用 Python 和 FastAPI 构建的安全运营中心（SOC）分析师模拟平台，它能自动生成安全事件，并引导分析师完成完整的事件响应生命周期。 ## 功能 - 每 30 秒自动生成一个事件 - 7 种不同的事件类型 - 逼真的误报模拟 - 内置事件响应手册 - 分析师调查工作流 - 真阳性与假阳性分类 - 完整的事件生命周期管理 - 分析师准确性追踪 - 仪表板与报告系统 - Docker 支持 ## 事件类型 | 事件类型 | 严重性 | 误报率 | |---|---|---| | MALWARE_DETECTED | 严重 (CRITICAL) | 20% | | COMPROMISED_CREDENTIALS | 严重 (CRITICAL) | 30% | | DATA_EXFILTRATION | 严重 (CRITICAL) | 10% | | PRIVILEGE_ESCALATION | 高 (HIGH) | 30% | | BRUTE_FORCE | 高 (HIGH) | 20% | | PHISHING_ATTEMPT | 中 (MEDIUM) | 40% | | SUSPICIOUS_LOGIN | 中 (MEDIUM) | 50% | ## 示例事件 ``` { "id": "f81c2a9b", "type": "BRUTE_FORCE", "severity": "HIGH", "source_ip": "203.0.113.42", "affected_user": "admin", "affected_system": "SERVER-WEB", "timestamp": "2025-09-22 10:45:12", "status": "OPEN" } ``` ## API 端点 | 方法 | 端点 | 描述 | |---|---|---| | GET | /incidents | 列出所有事件 | | GET | /incident/{id} | 获取事件详情及响应手册 | | POST | /investigate/{id} | 提交分析师裁决 | | POST | /close/{id} | 关闭一个事件 | | GET | /dashboard | 分析师指标与统计数据 | | GET | /report | 生成安全报告 | ## 架构 FastAPI 应用程序 ↓ 事件生成器 ↓ TinyDB 存储 ↓ 仪表板 / 报告 / 调查工作流 ## 技术栈 - Python 3.11 - FastAPI - TinyDB - Docker ## 运行项目 本地设置 Docker 设置 API 文档可在 http://localhost:8000/docs 访问 ## 已知限制 - 事件数据是完全模拟的 - 没有集成真实的 SIEM 或日志接入功能 - 没有身份验证或基于角色的访问控制（RBAC） - TinyDB 不适用于生产环境规模 - 后台事件生成使用线程，仅用于演示目的 ## 未来改进计划 - JWT 身份验证 - 基于角色的访问控制 - PostgreSQL 集成 - 真实 SIEM 日志接入 - WebSocket 实时事件更新 - 分析师排行榜 - MITRE ATT&CK 映射 - 电子邮件警报系统 - 事件升级工作流 ## 免责声明 本项目仅用于教育和作品集展示目的。它模拟了安全运营中心的工作流程，并不能替代真实的 SIEM 或企业级事件响应平台。

标签：API文档, AV绕过, Docker, FastAPI, PoC, Python, REST API, SOC分析师, TinyDB, 事件分类, 事件分诊, 事件响应模拟, 事件报告, 事件生命周期管理, 事件调查, 仪表板, 内置剧本, 凭证泄露, 分析师准确性跟踪, 分析师工作流, 协议分析, 可疑登录, 安全事件生成, 安全报告, 安全模拟, 安全运营中心, 安全防御评估, 无后门, 暴力破解, 权限提升, 网络安全, 网络映射, 自动化事件, 误报模拟, 请求拦截, 逆向工具, 隐私保护