BettinaSM/enterprise-security-operations-platform

# 🛡️ 企业安全运营平台 专注于统一企业安全运营平台： - SIEM 与安全监控 - 检测工程 - 威胁情报 - UEBA 与风险分析 - MITRE ATT&CK - IAM 与访问治理 - SOAR 自动化 - 合规与审计 - 混合基础设施安全 - 云与 Kubernetes 监控 基于 Python + Streamlit + Ansible 构建，用于企业安全运营、审计、自动化与检测工程模拟。 # 🚀 核心功能 ### 操作系统 * Linux 监控 * AIX 监控 * Windows 监控 ### 云平台 * AWS CloudTrail * Azure Entra 登录日志 * GCP 审计日志 * Oracle Cloud 审计 * IBM Cloud 活动跟踪器 ### 容器与运行时安全 * Kubernetes 审计可见性 * 运行时活动监控 * 容器事件采集 # 🧠 检测工程 * 类 Sigma 检测 * 基于 YAML 的检测 * IOC 匹配引擎 * MITRE ATT&CK 映射 * 检测严重性评分 * 威胁关联引擎 * 横向移动检测 * UEBA 异常检测 # 🛡️ 威胁情报 * IOC 富化 * 威胁源采集 * CVE 富化 * 威胁关联 * IOC 严重性分析 * 威胁链模拟 # 👥 IAM 与访问治理 * 用户审计自动化 * LDAP 审计自动化 * 特权访问审查 * Sudoers 分析 * 组成员分析 * Root/admin 活动监控 * 访问基线验证 * 身份治理模拟 # ⚙️ SOAR 自动化 * Ansible Playbook 执行 * 自动化审计收集 * 临时清单生成 * 动态服务器定向 * 安全响应编排 * 证据收集工作流 # 📋 合规与审计 ### 框架可见性 * ISO27001 * NIST * CIS Controls * PCI-DSS ### 审计能力 * 用户权限审计 * 访问治理审查 * 基线验证 * 基础设施清单跟踪 * 安全证据生成 * 高管 PDF 报告 # 📊 SOC 能力 * SIEM 关联 * 事件管理 * 威胁狩猎控制台 * 高管仪表板 * SOC 分析 * MITRE ATT&CK 热力图 * 实时系统日志监控 # 🏗️ 企业架构 ``` Linux / AIX / Windows ↓ Cloud Providers (AWS / Azure / GCP / OCI / IBM) ↓ Kubernetes Runtime Security ↓ Collectors & Log Parsers ↓ Detection Engine ↓ Threat Intelligence ↓ MITRE ATT&CK Correlation ↓ UEBA & Risk Scoring ↓ SIEM Analytics ↓ SOC Dashboard ↓ Incident Response ↓ SOAR Automation ↓ Audit & Compliance Reporting ``` # ⚚ 技术栈 ## 后端 * Python * FastAPI * SQLite ## 安全与自动化 * Ansible * YAML * JWT * MITRE ATT&CK ## 可视化 * Streamlit * Plotly * Pandas ## 基础设施 * Docker * Docker Compose # 📂 项目结构 ``` dashboard-app/ ├── agents/ │ ├── linux/ │ ├── aix/ │ ├── windows/ │ ├── aws/ │ ├── azure/ │ ├── gcp/ │ ├── oracle-cloud/ │ ├── ibm-cloud/ │ └── kubernetes/ │ ├── ansible/ │ ├── inventories/ │ ├── playbooks/ │ └── reports/ │ ├── collectors/ ├── configs/ ├── detections/ ├── parsers/ ├── reporting/ ├── sections/ ├── services/ ├── security/ ├── logs/ ├── database/ ├── api/ └── app.py ``` # 🐳 Docker 部署 ``` docker compose up --build ``` # ▶️ 本地运行 ``` pip install -r requirements.txt streamlit run dashboard-app/app.py ``` # 🔐 认证与 RBAC 当前实现包括： * 模拟 RBAC * 会话管理 * JWT 支持 * 基于角色的认证模型 计划改进： * LDAP 集成 * Active Directory 集成 * Azure Entra ID SSO * OAuth2 / OpenID Connect * 多因素认证支持 * 密码哈希 * Vault/Secrets 集成 * 企业 IAM 联邦 # 🎯 MITRE ATT&CK 覆盖 * 初始访问 * 执行 * 持久化 * 权限提升 * 防御规避 * 凭证访问 * 发现 * 横向移动 * 收集 * 数据渗出 # 📈 路线图 ## SOC 与 SIEM * [ ] Elastic 集成 * [ ] Splunk 集成 * [ ] 实时系统日志采集 * [ ] Sigma 关联引擎 ## IAM 与治理 * [ ] 完整 LDAP 连接器 * [ ] Active Directory 审计 * [ ] PAM 集成 * [ ] 访问认证工作流 ## 检测工程 * [ ] YARA 集成 * [ ] AI 辅助检测 * [ ] 行为关联引擎 * [ ] 威胁模拟引擎 ## SOAR * [ ] 自动化修复 * [ ] 事件工作流 * [ ] Slack/Teams 集成 * [ ] 案例管理 ## 云安全 * [ ] CSPM 集成 * [ ] 多云态势分析 * [ ] Kubernetes RBAC 分析 # ⚠️ 免责声明 本平台旨在用于： * 教育目的 * 安全工程实践 * 作品集展示 * 企业安全模拟 * 防御性网络安全研究 不包含任何攻击性功能。 # 👩‍💻 作者 由 Bettina Meirelles 开发 网络安全 | 检测工程 | SIEM | IAM | 云安全 | DevSecOps | SOAR | 企业基础设施

标签：Kubernetes, 系统提示词, 请求拦截, 逆向工具