MariusVasileMaftei/aws-soar-cybersecurity-dashboard

# 基于 AWS 的自动化暴力破解检测与事件响应 SOAR 平台 ## 概述 本仓库包含自定义 **安全编排、自动化与响应（SOAR）** 平台的前端组件，该平台旨在监控基础设施日志、检测身份验证异常并执行自动化的缓解预案。 为了实施关于 **凭据与密钥暴露** 的网络安全最佳实践，生产环境的后端 API 网关和环境配置变量已完全与仓库代码解耦。该应用程序在执行过程中，会从一个本地化的、未提交的配置层动态注入配置值。 ## 架构工作流 系统组件在企业云架构中无缝交互，以提供实时遥测和防御编排： 1. **数据摄取（流量模拟）：** 一个本地网络模拟器 (`simulator.py`) 生成合法的用户身份验证流量以及针对目标账户的高频率暴力破解攻击向量。 2. **身份验证网关：** 请求通过充当安全公共入口点的 AWS API Gateway。 3. **身份管理与审计：** 一个 AWS Lambda 函数 (`soar-auth`) 拦截负载，尝试针对 AWS Cognito 用户池进行验证，并将结构化审计日志写入 Amazon DynamoDB 状态表。 4. **分析与关联：** 第二个微服务 (`soar-events`) 根据特定的滑动窗口警报定义来评估日志遥测数据。 5. **异步告警与响应：** 当检测到活动的暴力破解特征时，异常信号会通过 AWS SQS 队列派发给告警 Lambda 函数 (`soar-alerter`)，从而触发通过 Amazon SNS（电子邮件通知）发送即时通知，并将可下载的取证 CSV 报告归档到安全的 Amazon S3 存储桶中。 6. **可视化仪表板：** 一个实时、低开销的管理仪表板渲染安全指标和审计表，轮询实时遥测数据，而无需将底层 AWS 资源直接暴露给互联网。 ## 仓库结构 ``` soar-project/ │ ├── frontend/ # Source code committed to GitHub │ ├── dashboard.html # Main Security Operations Center (SOC) view │ ├── style.css # UI styling sheets │ └── app.js # Core API polling and asynchronous UI DOM updates │ ├── .gitignore # Restricts sensitive local data from being published ├── config.js # LOCAL ONLY: Contains private AWS API endpoints │ └── backend_simulator/ # LOCAL ONLY: Testing and data generation tools └── simulator.py # Python behavioral emulation script ```

标签：AWS 云服务, Python 开发, 事件流处理, 免杀技术, 凭证安全, 可视化仪表板, 多模态安全, 安全编排自动化和响应 (SOAR), 异常检测, 数据可视化, 暴力破解检测, 红队行动, 网络安全, 网络调试, 自动化, 自定义脚本, 逆向工具, 隐私保护