Lohetapja/CyberDefenseRunner

# Cyber Defense 实验室 **一个基于浏览器的蓝队训练模拟器。** 通过以下方式练习 SOC 基础知识： 拥有 3,200 道题目的测验系统、带有班后学习报告的限时事件响应看板， 以及不断丰富的分析师工具原型集 —— 所有这一切均以静态文件运行， 完全在浏览器中执行。 **目标受众：** 正在练习基础技能的 SOC / 蓝队学习者、希望进行实操训练的 准初级分析师，以及希望了解我在检测、分诊和事件处理方面思维过程的 作品集审阅者 / 招聘人员 / 招聘经理。 **在线演示：** https://lohetapja.github.io/CyberDefenseRunner/ *（该代码库保留其原始的 `CyberDefenseRunner` 名称，以确保现有链接保持有效； 该项目面向公众的名称为 Cyber Defense Lab。）* ## 功能 - **3,200 道经验证的题目**，涵盖 8 个网络安全主题。每个题库均经过独立检查， 确保 ID 唯一、答案分布均衡、难度层级分布合理、无重复题目， 且保持认证品牌中立。 - **多种训练模式**，从轻松的测验学习到限时的事件压力应对。 - **事件后学习报告** —— 在压力解除后，会附带解析重播答错的题目， 这与真实的 SOC 团队进行事件后复盘的方式一致。 - **分析师工具原型** —— 初级分析师真正会用到的、小型且实用的实用工具， 作为独立页面构建。 - **零基础设施** —— 无需后端、无需账户、无需数据库、无需构建步骤。 纯粹的 HTML/CSS/JS，以静态文件形式提供服务。 ## 模式 | 模式 | 状态 | 训练内容 | |---|---|---| | **测验训练 (Quiz Training)** | 稳定 | 涵盖 8 条学习路径的核心知识，支持主题 / 难度 / 波次筛选、评分及结果报告。 | | **SOC 看板 (SOC Dashboard)** | 稳定 | 限时事件响应：防御三个节点，在可配置的响应计时器下对威胁进行分诊（10秒–45秒或无限时）。 | | **事后行动报告 (After-Action Report)** | 稳定 | SOC 看板内的班后复盘：重播每一道答错的题目，并提供正确答案、解析及需要复习的主题。支持以 Markdown 格式复制。 | | **分析师伴侣 (Analyst Companion)** | 稳定 | 测验训练中的轻量级学习进度层（详见下文）。 | 主菜单将其余部分分为两个部分：**分析师工具**（下文的六个工具） 和 **实验性游戏模式**。 ## 分析师工具 初级分析师真正会使用到的六个独立、纯浏览器端的实用工具。它们都是 可运行的**原型** —— 在本地客户端运行，且仅使用安全的模拟数据。 | 工具 | 状态 | 训练内容 | |---|---|---| | **SOAR-Lite 警报分诊** | 原型 | 对模拟警报进行自动分诊：富化、严重性推理、判定以及 MITRE ATT&CK 映射，支持输出 Markdown/JSON。 | | **KQL 检测助手** | 原型 | 构建并解释基于模板的 KQL 检测思路，包含检测说明、误报考量及验证清单。*（在本地生成查询 —— 未连接至真实的 SIEM。）* | | **SOC 警报报告生成器** | 原型 | 结构化事件报告：一个可生成遵循 NIST 事件处理生命周期的整洁 Markdown 报告的表单，内置虚构示例事件加载器。 | | **事件时间线构建器** | 原型 | 将带有时间戳的调查事件转化为已排序且可导出的 Markdown 时间线。 | | **日志解析器 / SIEM 演示** | 原型 | 粘贴管道符分隔的示例日志，对其进行过滤和分组，高亮显示可疑活动，并导出调查笔记。 | | **AI 误用检测演示** | 原型 | 一个防御性演示，用于识别模拟的企业日志中存在风险的 / 影子 AI 使用情况及可能的数据泄露。 | ## 实验性游戏模式 | 模式 | 状态 | 训练内容 | |---|---|---| | **防御任务 (Defense Mission)** | 实验性 | 基于拓扑的塔防游戏（准备阶段 → 攻击阶段）。 | | **网络防御任务 v2 (Network Defense Mission v2)** | 实验性 | 层级匹配塔防：NGFW 对抗网络威胁，WAF 对抗应用威胁，EDR 对抗主机威胁 —— 不匹配的防御层将被绕过并记录。 | ## 分析师伴侣 测验训练中一个可选的轻量级进度层，其样式被设计为网络分析师助手 （而非卡通宠物）。它会追踪因答题而获得的 **能量**、**积分** 和 **徽章**， 允许你设置 **伴侣名称** 并选择 **伴侣类型**，并通过 **localStorage** 将所有数据 保存在浏览器中 —— 无需账户或后端。它是一个轻量级的 UX / 参与度层， 不会影响评分或题目难度。 ## 学习路径 网络基础 · 系统防御 · 攻击概念 · 警报调查 · 云与 DevOps · AI 与自动化安全 · 身份与登录 · 恶意软件基础 （8 个主题 × 400 道题目；难度分级：各 200 道初级 / 140 道中级 / 60 道高级） ## 技术栈 - **HTML5 / CSS3 / 原生 JavaScript** —— 无框架，无构建工具 - 使用 **GitHub Pages** 进行托管（纯静态网站） - 一个可复用的 **题目验证器**（`tools/`），可在浏览器或 Node 中运行 ## 展现的技能 项目各部分与 SOC / 蓝队技能对应关系的粗略映射： | 项目部分 | 反映的技能 | |---|---| | **测验训练 (Quiz Training)** | 涵盖 8 个主题的网络安全基础知识 | | **SOC 看板 (SOC Dashboard)** | 压力下的限时分诊与事件响应决策能力 | | **SOAR-Lite 警报分诊** | 警报分诊、富化及严重性 / 判定推理 | | **KQL 检测助手** | 检测逻辑与 KQL 实践 | | **SOC 警报报告生成器** | 结构化事件报告（NIST 生命周期） | | **事件时间线构建器** | 事件排序与时间线重建 | | **日志解析器 / SIEM 演示** | 日志分析与过滤 | | **AI 误用检测演示** | 影子 AI / 数据泄露意识 | | **分析师伴侣** | 学习进度设计及前端 UX | 这些是练习和演示项目，并非生产环境工具。 ## 我学到了什么 - 设计确定性的游戏规则，以确保学习内容保持可验证和公平 - 编写并*验证*大型题库（平衡性、重复项、干扰项质量） - 围绕 NIST 事件处理生命周期组织事件报告 - 为什么限时压力训练和事件后复习需要作为独立的学习环节 - 通过独立页面和共享数据文件，保持多模式项目的可维护性 ## 当前状态 - 测验训练、SOC 看板、事后行动报告以及分析师伴侣已处于稳定状态。 - 所有六个分析师工具均为可运行的原型（仅限本地、模拟数据 —— 非生产环境工具）。 - 防御任务模式为可玩的实验性功能，尚未完全平衡。 请参阅 [`ROADMAP.md`](ROADMAP.md) 了解后续计划，以及 [`TESTING.md`](TESTING.md) 查看 提交前的手动测试清单。 ## 截图 **主菜单 —— 分析师工具部分**  **带有 Analyst Companion 的主测验训练**  **SOC 看板 —— 限时事件响应**  **事后行动报告 —— 班后学习回顾**  **SOAR-Lite 警报分诊 —— 判定、严重性及 MITRE 映射**  **KQL 检测助手 —— 生成的查询与检测说明**  **SOC 警报报告生成器 —— 结构化 Markdown 报告**  *所有截图仅使用虚构的模拟训练数据。* ## 如何在本地运行 建议使用本地 Web 服务器运行（浏览器会限制 `file://` 下的某些行为）。 **Windows：** 双击 `start.bat`（将在 3900 端口启动服务器并打开该网站）。 **任何装有 Python 的操作系统：** ``` python -m http.server 3900 ``` 然后打开 **http://localhost:3900**。 ## 项目文档 供审阅者或未来的开发工作参考，相关的支持文档如下： - [架构概述](docs/architecture.md) —— 静态 / 纯浏览器端结构、模块、数据边界及限制。 - [作品集演示流程](docs/demo-flow.md) —— 展示该项目推荐的 3–5 分钟操作演示。 - [测试清单](TESTING.md) —— 针对测验、SOC 看板、分析师工具及导航的手动检查项。 - [路线图](ROADMAP.md) —— 计划中的改进与未来方向。 - [Claude 工作规则](CLAUDE.md) —— 本代码库进行 AI 辅助开发时使用的防护准则。 ## 免责声明 这是一个**教育性质的训练项目**。示例和游戏内容中使用的所有事件、警报、主机名、用户 及指标均为**虚构的**，使用的是文档保留的 IP 地址范围及编造的组织。这里的任何内容均非 衍生自真实的公司数据，且内容仅教授防御性识别知识 —— 而非操作级的 攻击技术。 ## 许可证 MIT —— 详见 [`LICENSE`](LICENSE)。

标签：MITM代理, SOC培训, 前端静态页面, 教育模拟器, 自定义脚本, 蓝队训练