Darkrider240/Threat-theatre

# Ghost Protocol - 威胁剧场 一个严谨、现代的网络欺骗与威胁模拟环境，专为安全运营中心 (SOC) 分析师设计，用于建模、分析和丰富网络入侵警报。使用 React 18、Tailwind CSS、FastAPI 和 Azure AI 驱动的 OpenAI 编排模型构建。 Foundry IQ 通过本地 FastAPI 丰富层进行模拟，该层将事件与 MITRE ATT&CK 知识库进行映射，并提供离线备用方案，使项目无需复杂的企业云依赖即可高度复现。 ## 1. 系统架构与数据流 该架构将前端临床界面（通过 CDN 的纯客户端 React）与智能丰富层（FastAPI 后端）解耦。所有持久化数据都保留在浏览器的 `localStorage` 客户端中，并利用 API endpoint 进行实时验证、智能丰富和结构化。 ``` graph TD subgraph Frontend [Client Browser - React & Tailwind] OB[onboarding.html - Setup Stack & AD] DB[index.html - Dashboard & Threat History] WR[theatre.html - War Room & Copilot Chat] end subgraph Backend [FastAPI Server - app.py] API_Risk["/api/risk-profile"] API_Scen["/api/scenarios"] API_NVD["/api/threat-feed"] API_IP["/api/ip-reputation"] API_MITRE["/api/mitre-osint"] API_Time["/api/attack-timeline"] API_Save["/api/history/save"] API_AI["/api/analyze & /api/chat"] end subgraph Intelligence [Enrichment & AI Services] Azure_AI[Azure AI Inference - GPT-4o-mini] AbuseIPDB[AbuseIPDB API] MITRE_CTI[MITRE CTI Catalog] NVD_API[NVD CVE Feed API] end OB -->|1. Post Stack Configuration| API_Risk API_Risk -->|Compute Profile| Azure_AI DB -->|2. Get Scenario List & CVEs| API_Scen & API_NVD DB -->|3. Route to Scenario| WR WR -->|4. Attack Analysis & TTPs| API_AI API_AI -->|Generate Actor & Blast Radius| Azure_AI WR -->|5. Run Parallel Enrichment| API_IP & API_MITRE & API_Time API_IP -->|Query IP Reputation| AbuseIPDB API_MITRE -->|Cross-reference Groups| MITRE_CTI API_Time -->|Construct Event Chain| Azure_AI WR -->|6. Save Event| API_Save API_Save -->|Format & Stamp| DB ``` ## 2. 核心功能 * **高级风险建模**：对组织架构进行建模，包括云基础设施、Active Directory 域结构（DC、信任关系、账户）以及自定义文本架构。 * **智能场景匹配**：推荐精准适配组织现有技术栈的欺骗性 honeypot 资产。 * **并行智能丰富**： * **IP 信誉**：查询 AbuseIPDB 以获取真实的恶意评分、国家和 ISP 信息。 * **MITRE 组织 OSINT**：从官方 MITRE ATT&CK 数据库动态提取威胁组织别名、来源和动机。 * **攻击时间线模拟**：重构详细的从秒级到分钟级的时间线，展示初始访问、横向移动和数据窃取阶段。 * **双标签智能面板**：将实时的 NVD CVE 订阅源与本地事件历史记录并排集成。 * **分析师 Copilot**：交互式 SOC 聊天机器人，建议上下文相关问题并接受后续命令，以深入探讨缓解计划。 ## 3. 项目目录结构 ``` ├── app.py # FastAPI Application (Endpoints & Schemas) ├── models.py # Pydantic schemas for Azure AI structured outputs ├── onboarding.html # Setup wizard (AD configuration & architecture overview) ├── index.html # Main Operations Dashboard & Incident History ├── theatre.html # War Room simulation timeline & Chat Interface ├── verify_api_live.py # Integration test suite validating all 12 test cases ├── .env # Local API Keys and environment settings └── README.md # Project documentation ``` ## 4. 安装与本地设置 ### 前置条件 确保您已安装 **Python 3.10+**。 ### 1. 安装依赖 在终端中安装所有必需的库： ``` pip install fastapi uvicorn pydantic requests openai python-dotenv ``` ### 2. 配置环境变量 在项目根目录下创建一个 `.env` 文件： ``` # AI 分析、时间线和风险概况所需 GITHUB_TOKEN=your_github_model_inference_token_here # 可选：实时 IP 检查所需（如为空则应用 fallback schema） ABUSEIPDB_KEY=your_abuseipdb_api_key_here ``` ### 3. 运行后端服务器 启动 Uvicorn 本地服务器： ``` python app.py ``` *服务器开始在 `http://127.0.0.1:8000` 上监听。* ### 4. 运行客户端前端 在浏览器中双击或打开 [onboarding.html](onboarding.html)。React 应用程序不依赖于特定源，会自动与本地服务器进行交互。 ## 5. 开发者 API 文档 | Endpoint | Method | Payload | Description | | :--- | :--- | :--- | :--- | | `/health` | `GET` | 无 | 返回后端状态和健康状况。 | | `/api/scenarios` | `GET` | 无 | 列出所有可用的欺骗性 honeypot 场景。 | | `/api/threat-feed` | `GET` | 无 | 从 NVD API 获取实时的严重级别 CVE。 | | `/api/risk-profile` | `POST` | `RiskProfileRequest` | 计算安全评分并选择推荐的 honeypot。 | | `/api/analyze` | `POST` | `AnalyzeRequest` | 处理 honeypot 触发事件并生成爆炸半径。 | | `/api/correlate-cves` | `POST` | `CorrelateCVEsRequest` | 将 NVD 漏洞与用户的 OS 技术栈进行关联。 | | `/api/suggested-questions`| `POST` | `SuggestedQuestionsRequest` | 为分析师生成 3 个上下文 SOC 问题。 | | `/api/ip-reputation` | `POST` | `IPReputationRequest` | 解析 IP 信誉评分和地理位置数据。 | | `/api/mitre-osint` | `POST` | `MitreOsintRequest` | 从 MITRE 数据库解析威胁行为者动机。 | | `/api/attack-timeline` | `POST` | `TimelineRequest` | 重构逐步的攻击者时间线事件。 | | `/api/history/save` | `POST` | `HistoryEntryRequest` | 验证、标记并结构化威胁历史记录。 |

标签：AV绕过, BOF, CISA项目, FastAPI, GPT, IP 地址批量处理, React, Syscalls, 后端开发, 威胁情报, 安全运营中心, 开发者工具, 欺骗防御, 漏洞管理, 网络安全, 网络映射, 逆向工具, 隐私保护