PTah/security-alert-center
GitHub: PTah/security-alert-center
自托管的安全事件中心化平台,通过 Linux 和 Windows 代理采集主机登录与特权活动事件,提供关联分析、实时仪表板和多渠道告警通知。
Stars: 1 | Forks: 0
# 安全告警中心 (SAC)
用于收集、存储和显示来自 Linux 和 Windows 主机安全事件的中心化平台。
**English:** [README_en.md](README_en.md)
## 代理 (独立仓库)
| 仓库 | 用途 |
|-------------|------------|
| [ssh-monitor](https://github.com/PTah/ssh-monitor) | Linux: SSH, sudo, logind, 暴力破解, IP 封禁 |
| [RDP-login-monitor](https://github.com/PTah/RDP-login-monitor) | Windows: RDP/RDS, RD Gateway, WinRM, 管理共享 C$/ADMIN$ |
| **security-alert-center** (本仓库) | Ubuntu 24.04: API, 数据库, UI, 告警 |
| [seaca](https://github.com/PTah/seaca) | Android: SAC 移动客户端, 推送 (FCM) |
## 状态
**版本:** `0.9.0`
**技术栈:** FastAPI, PostgreSQL, Vue 3, JWT, SSE
**部署:** `sudo /opt/sac-deploy.sh` (见 `deploy/sac-deploy.sh`)
## UI 截图
| 概览 | 事件 | 问题 |
|-------|---------|----------|
|  |  |  |
## 监控内容
事件由代理按照 [ingest 契约](docs/agent-integration.md) (`type`, `severity`, `details`) 发送:
- **Linux — [ssh-monitor](https://github.com/PTah/ssh-monitor):** SSH (成功/失败), **sudo**, **systemd-logind**, 暴力破解与 IP 封禁 (ipset), 无封禁阈值, 每日报告, heartbeat。
- **Windows — [RDP-login-monitor](https://github.com/PTah/RDP-login-monitor):**
- **RDP/RDS** (4624/4625);
- **RD Gateway** (302/303), **WinRM / PowerShell Remoting** (Enter-PSSession, ID 91);
- **管理共享 `C$` / `ADMIN$`** (Security **5140**, `smb.admin_share.access`);
- **RDS Shadow Control** (RCM 20506/20507/20510), 账户锁定 **4740**, 每日报告, heartbeat, **硬件清查** (`agent.inventory`)。
- **在 SAC 中:** problems (关联分析), Telegram/email/webhook, UI 登录频率限制, SSE 仪表板与主机实时更新, 基于 heartbeat 的代理状态, 包含硬件信息的主机卡片。
**类型示例:** `ssh.login.*`, `privilege.sudo.command`, `rdp.login.*`, `winrm.session.started`, `smb.admin_share.access`, `agent.heartbeat`, `agent.inventory`, `report.daily.*` — [完整表格](docs/agent-integration.md#3-маппинг-уведомлений--типы-событий)。
## 平台功能
- `admin` / `monitor` 角色, 在 UI 中管理用户, JWT 配合数据库中的有效性检查
- 事件, 主机, problems, 仪表板, 报告, 实时 SSE
- 告警: Telegram, email, webhook; problems 规则与 cooldown
- 保护 SPA, `DELETE /hosts` 仅限 admin, 登录频率限制, 为 `report_html` 使用 DOMPurify
- 错误页面 `401` / `403` / `404` / `429`
- 侧边栏显示系统统计信息 (CPU, 内存, 磁盘, 数据库延迟)
## 文档
| 文档 | 描述 |
|----------|----------|
| [docs/TZ.md](docs/TZ.md) | 技术规范 |
| [docs/architecture.md](docs/architecture.md) | 架构 |
| [docs/agent-integration.md](docs/agent-integration.md) | 代理集成, `UseSAC` 模式 |
| [docs/event-schema-v1.json](docs/event-schema-v1.json) | 事件 JSON Schema v1 |
| [docs/install-ubuntu-24.04-native.md](docs/install-ubuntu-24.04-native.md) | **Ubuntu 24.04 — 原生 (主要)** |
| [docs/install-ubuntu-24.04-docker.md](docs/install-ubuntu-24.04-docker.md) | Ubuntu 24.04 — Docker |
| [docs/deployment.md](docs/deployment.md) | 部署与运维 |
| [docs/ssl-certificate.md](docs/ssl-certificate.md) | TLS 证书 |
| [docs/runbook-ops.md](docs/runbook-ops.md) | 运维 Runbook |
## 快速开始 (原生)
```
git clone https://github.com/PTah/security-alert-center.git /opt/security-alert-center
# deploy/env.native.example -> config/sac-api.env
cd /opt/security-alert-center/backend
python3 -m venv .venv && .venv/bin/pip install -r requirements.txt
.venv/bin/alembic upgrade head
```
完整说明: [docs/install-ubuntu-24.04-native.md](docs/install-ubuntu-24.04-native.md)
## 目标平台
- **SAC 服务器:** Ubuntu 24.04 LTS
- **代理:** ssh-monitor (Linux), RDP-login-monitor (Windows)
## 许可证
MIT — 见 [LICENSE](LICENSE)。
Copyright (c) 2026 Andrey «PapaTramp» Lutsenko.
标签:AV绕过, FastAPI, FOFA, PE 加载器, PostgreSQL, Vue, 安全告警, 安全运营中心, 文件系统扫描, 测试用例, 红队行动, 网络映射, 请求拦截, 运维监控, 逆向工具