bommakantirishi1-lab/autochain-dfir

# AutoChain DFIR **企业级数字取证与事件响应自动化平台** 以四大审计公司的取证工作流为模型 —— 遵循 ACPO/ISO 27037 证据标准、MITRE ATT&CK、STIX 2.1。 ## 🚀 快速开始 — 单条命令 ``` streamlit run app.py ``` 在浏览器中打开 [http://localhost:8501](http://localhost:8501)。 **无需任何其他服务器。** 该应用完全独立，并内置了逼真的模拟数据。 ## 🌐 在线部署 ### Streamlit Community Cloud 1. 将此仓库推送到 GitHub 2. 前往 [share.streamlit.io](https://share.streamlit.io) 3. 设置 **Main file path**：`app.py` 4. 点击 **Deploy** — 完成 ### Hugging Face Spaces 1. 创建一个新的 Space → **Streamlit** SDK 2. 上传所有文件（或连接 GitHub 仓库） 3. 确保存在 `requirements.txt` 4. 应用将自动启动 ### Docker ``` FROM python:3.11-slim WORKDIR /app COPY requirements.txt . RUN pip install streamlit plotly pandas COPY . . EXPOSE 8501 CMD ["streamlit", "run", "app.py", "--server.headless=true", "--server.port=8501"] ``` ## 🏗 企业级应用结构 ``` ey_dfir_autochain/ ├── app.py # ← Main entry point (streamlit run app.py) ├── .streamlit/ │ └── config.toml # Dark theme configuration ├── theme/ │ └── styles.py # Global CSS design system ├── data_v2/ │ └── mock_data.py # Realistic mock DFIR data ├── pages_v2/ │ ├── p1_dashboard.py # Investigation Command Center │ ├── p2_cases.py # Case Command Center │ ├── p3_timeline.py # Supertimeline (ATT&CK-aligned) │ ├── p4_evidence.py # Evidence Chain of Custody │ ├── p5_mitre.py # MITRE ATT&CK Center │ ├── p6_ioc.py # IOC Intelligence Center │ ├── p7_correlation.py # Cross-Case Correlation │ └── p8_reports.py # Executive Report Center └── requirements.txt ``` ## 📊 功能 | 模块 | 描述 | |--------|-------------| | 🏠 **指挥中心** | KPI 仪表板 · 风险圆环图 · ATT&CK 战术条形图 · 实时告警信息流 | | 📁 **案件管理** | 8 个逼真案例 · 完整的过滤/搜索 · 威胁行为者归因 | | ⏱ **超级时间线** | ATT&CK 杀伤链 · Plotly 散点时间线 · 高管叙事 | | 🗄 **证据监管** | 监管链 · SHA-256 完整性 · 符合 ACPO/ISO 27037 标准 | | 🛡 **MITRE ATT&CK** | 企业版 v14 热力图 · 12 项战术 · 40+ 项技术 | | 🌐 **IOC 情报** | VirusTotal + AbuseIPDB 富化 · 威胁评分仪表 | | 🔗 **关联分析** | 跨案件 IOC 矩阵 · 行为者归因图 · STIX 2.1 导出 | | 📄 **报告中心** | EY 品牌模板 · PDF/DOCX/STIX 导出模拟 | ## 🎨 设计系统 | 标记 | 值 | 用途 | |-------|-------|-------| | Background | `#0E1117` | 应用背景 | | Card | `#1A1F2B` | 卡片表面 | | Border | `#2A3142` | 分割线 | | Primary | `#FFE600` | EY 黄色，CTA | | Critical | `#FF4D4F` | 严重风险 | | High | `#FA8C16` | 高风险 | | Medium | `#FADB14` | 中等风险 | | Low | `#52C41A` | 低风险 / 成功 | ## 🧪 原始平台（100 项测试） `tests/` 目录包含用于 FastAPI 后端的原始 100 项测试套件： ``` pytest tests/ -v --cov=. --cov-report=term-missing ``` 运行原始的 FastAPI 后端： ``` uvicorn main:app --host 0.0.0.0 --port 8000 & streamlit run streamlit_app.py --server.port 8502 ``` ## 📋 包含的案件场景 1. **CASE-2024-001** — ALPHV/BlackCat 勒索软件 (Meridian Healthcare) — CRITICAL 2. **CASE-2024-002** — APT29 供应链入侵 — CRITICAL 3. **CASE-2024-003** — BEC 金融欺诈 ($2.1M) — HIGH 4. **CASE-2024-004** — 内部威胁 (IP 数据外泄) — HIGH 5. **CASE-2024-005** — Lazarus Group 加密货币交易所劫案 ($47M) — CRITICAL 6. **CASE-2024-006** — FIN7 POS 恶意软件 (RetailChain) — HIGH 7. **CASE-2024-007** — 鱼叉式网络钓鱼活动 (100 名高管) — MEDIUM 8. **CASE-2024-008** — APT28 LOTL 政府网络 — CRITICAL ## ⚖️ 法律声明 本平台及所有模拟数据仅为演示和求职申请目的而创建。 所有案件细节、客户名称和威胁行为者场景均属虚构。 © 2024 — 为 EY Forensic & Integrity Services 的 DFIR 工程师申请而构建。

标签：Kubernetes, Streamlit, 威胁情报, 库, 应急响应, 开发者工具, 数字取证, 自动化脚本, 访问控制, 请求拦截, 逆向工具