AmarjeetkaurDhillon/cloud-siem-dashboard

# Cloud SIEM 仪表板 一个实时云安全事件监控仪表板，模拟 AWS CloudTrail 和 GuardDuty 安全事件，通过实时的严重性跟踪和事件解决功能，跨服务可视化威胁。 ## 演示 ### 实时仪表板  ## 功能特性 - 每 10 秒生成实时模拟的 AWS 安全事件 - 展示跨 8 个 AWS 服务的按严重性排序的事件 - 按服务（圆环图）和攻击类型（柱状图）可视化事件 - 跟踪排名前列的威胁源 IP - 支持一键解决事件 - 提供 REST API endpoint 用于与外部工具集成 - 每 30 秒自动刷新仪表板 ## 监控的安全事件 | 攻击类型 | 描述 | |---|---| | 暴力破解登录 (Brute Force Login) | 反复的认证失败尝试 | | SQL 注入尝试 (SQL Injection Attempt) | 通过恶意查询进行数据库攻击 | | 端口扫描检测 (Port Scan Detected) | 网络侦察活动 | | 权限提升 (Privilege Escalation) | 未经授权的权限升级 | | 可疑 API 调用 (Suspicious API Call) | 异常的 AWS API 使用 | | 数据泄露尝试 (Data Exfiltration Attempt) | 未经授权的数据传输 | | 恶意软件通信 (Malware Communication) | C2 回调检测 | | 凭据填充 (Credential Stuffing) | 自动化凭据攻击 | | DDoS 攻击 (DDoS Attack) | 分布式拒绝服务 | | 未经授权的访问 (Unauthorized Access) | 违反访问控制 | ## 技术栈 - Python 3.11 - Flask — Web 框架 - APScheduler — 后台事件生成 - Chart.js — 实时可视化 - pytest — 14 个通过的测试 - 用于外部集成的 REST API ## API Endpoints ``` # 获取最近事件 GET /api/events # 获取摘要计数 GET /api/summary # 解决事件 POST /api/resolve/ # 手动生成新事件 GET /api/new-event ``` ## 环境配置 ``` pip install -r requirements.txt python app.py ``` 然后打开：http://127.0.0.1:5000 ## 运行测试 ``` pytest tests/ -v ``` ## 测试结果 全部 14 个测试通过： - 事件生成 - 必填字段验证 - 严重性验证 - 初始化种子事件 - 汇总计算 - 按服务分类的事件 - 排名前列的源 IP - 事件解决 - 不存在的事件解决 - 最近事件检索 - 事件上限为 100 条 - 仪表板加载 - API 事件 endpoint - API 汇总 endpoint ## 项目结构 ``` cloud-siem-dashboard/ ├── app.py # Flask app and API routes ├── siem.py # Event generation and SIEM logic ├── templates/ │ └── index.html # Real-time dashboard UI ├── images/ │ └── siem-dashboard.png ├── tests/ │ └── test_siem.py # Full test suite (14 tests) ├── requirements.txt └── README.md ``` ## 作者 Amarjeet Kaur Dhillon — 南安普顿大学网络安全理学硕士 Amazon AWS DC 安全专家实习生（2026 年 9 月） [LinkedIn](https://www.linkedin.com/in/amarjeet-kaur-dhillon-545672214) [GitHub](https://github.com/AmarjeetkaurDhillon)

标签：AWS, CISA项目, DPI, Flask, HTTP/HTTPS抓包, IP 地址批量处理, PE 加载器, 后端开发, 安全规则引擎, 安全运营, 态势感知, 扫描框架, 插件系统