Nikhilpreetsaini/cyber-sentinel-x

# 网络哨兵 X **网络哨兵 X** 是一个基于 Streamlit 构建的、由 AI 驱动的安全运营中心 (SOC) 分析师与威胁情报平台。它演示了如何对日志数据进行摄取、分析、关联和总结，以检测可疑行为、分配风险评分、生成事件报告并提供基于智能体的解释。 ## 功能 - **多源日志摄取：** 上传您自己的 CSV 日志，或加载代表正常活动、暴力破解攻击、密码喷洒、端口扫描、类恶意软件进程和数据窃取的内置演示数据集。 - **威胁检测与风险评分：** 使用启发式规则识别暴力破解攻击、密码喷洒尝试、端口扫描、类恶意软件活动、数据窃取等。为每个事件分配风险评分 (0–100) 和风险等级 (低/中/高/危急)。 - **用户与实体行为分析 (UEBA)：** 标记异常行为，例如在非典型时间登录、每个用户对应多个 IP 或单个 IP 对应多个用户。 - **事件关联：** 基于源 IP、威胁类型和时间邻近性，将相关事件分组为具有唯一 ID 的事件。 - **SOC 仪表板：** 可视化威胁分布、风险评分分布和事件时间线。查看主要的源 IP 和用户。 - **事件调查：** 检查单个事件，审阅时间线，更新案例状态 (打开/调查中/已解决/误报/待审阅)，分配优先级并添加分析师备注。 - **分析与可视化：** 探索跨不同维度 (用户、IP、资产、小时、威胁类型或风险等级) 的风险热图，以了解风险集中在哪里。检查将源 IP 链接到用户、资产和威胁类型的关系图，以理解事件如何从网络边缘流向受害者。 - **AI 安全智能体：** 关于事件提出自然语言问题，并接收解释、摘要和建议。该智能体可以回答诸如 *“为什么此 IP 可疑？”、“最严重的事件是哪个？”、“哪个用户被针对最多？”* 等问题，并提供执行摘要。它在本地运行，不调用外部服务。 - **MITRE ATT&CK 映射与威胁情报：** 将检测到的威胁映射到简化的 MITRE 战术和技术。在本地威胁情报数据库中查询 IP 地址的信誉和建议操作。 - **报告生成：** 下载包含所有事件或特定事件报告的 CSV 文件。按威胁类型和风险等级生成摘要统计信息。 - **Streamlit 部署就绪：** 该仓库包含一个 `.streamlit/config.toml` 文件，用于配置应用以在 [Streamlit Cloud](https://streamlit.io/cloud) 上进行部署。 ## 安装说明 克隆仓库并安装依赖项： ``` git clone https://github.com/your-username/cyber-sentinel-x.git cd cyber-sentinel-x pip install -r requirements.txt ``` ## 运行应用 要在本地启动 Cyber Sentinel X，请运行： ``` streamlit run app.py ``` 在浏览器中打开 `http://localhost:8501` 以探索仪表板和功能。 ## 目录结构 ``` cyber-sentinel-x/ ├── app.py # Main Streamlit application ├── requirements.txt # Python dependencies ├── sample_logs/ # Demo log datasets ├── data/ # MITRE mapping, threat intel and response playbooks ├── src/ # Core modules (parsing, detection, risk, UEBA, etc.) ├── docs/ # Project documentation (synopsis, system design, etc.) ├── assets/ # Screenshots and diagrams └── .streamlit/ # Streamlit configuration ``` ## 安全须知 本项目仅用于教育目的。它是一个防御性网络安全工具，**不**执行真正的黑客攻击、网络扫描或利用。所有威胁检测逻辑针对预摄取的日志文件运行，威胁情报数据库是一个静态、安全的数据集。未经授权，请勿使用此工具监控活动的生产系统。 ## 许可证 本项目采用 MIT 许可证。

标签：Kubernetes, 逆向工具, 速率限制