mohamedmouzaoui/sentinel-xdr

# Sentinel XDR (v3.0) — 下一代 SecOps 平台 Sentinel XDR 是一个企业级、轻量级的扩展检测与响应 (XDR) 和安全运营中心 (SOC) 平台。专为在资源受限环境下（最低 4.7 GB RAM）快速部署而设计，它将威胁检测、机器学习分析、自动化响应 (SOAR) 和事件管理编排到一个统一的视图中。 通过利用由 Docker 容器化的强大微服务架构，Sentinel XDR 弥合了原始遥测数据摄取与可执行威胁情报之间的差距。 .. 核心能力与核心架构 1. 统一的事件管理与工作流 结构化事件生命周期：具备涵盖 7 种操作状态的完整工作流、内置服务级别协议 (SLA) 跟踪以及交互式实时取证时间线。 多租户与企业级 RBAC：旨在支持托管安全服务提供商 (MSSP) 和分段的企业部门，具有严格的多租户隔离和 6 角色的基于角色的访问控制 (RBAC) 模型。 合规就绪审计：包括预先配置的、防篡改的审计日志，完全映射到 ISO 27001 合规框架。 2. 智能检测与 ML 驱动的分析 高级威胁狩猎：开箱即用地与行业标准 Sigma 规则集成，用于日志解析和行为检测。 机器学习引擎：内置异常和威胁检测，同时利用无监督学习（用于离群点/入侵检测的 IsolationForest）和监督学习（用于分类的 RandomForest）。 MITRE ATT&CK 映射：专门的可视化仪表板，将主动警报和遥测数据与 MITRE ATT&CK Kill Chain 矩阵对齐。 3. 自动化响应 (SOAR) 与威胁情报 (CTI) 自动化事件升级：具有交互式、动画终端 SOAR playbook，可通过编程方式升级警报并将案例直接摄取到 TheHive 中。 网络威胁情报 (CTI)：全面支持利用 STIX 2.1 进行结构化数据摄取，并与 MISP（恶意软件信息共享平台）源进行自动同步。 富化 Pipeline：使用第三方 API（如 VirusTotal 和 AbuseIPDB）自动进行 artifact 和 IoC 富化，以加速分流。 4. 企业级可观测性与技术栈组件 前端与实时同步：响应式的基于 React/Next.js 的 SOC 仪表板，通过低延迟的事件驱动 WebSockets 保持更新。 数据库骨干：由 Cassandra 提供支持，实现高吞吐量、分布式数据保留，并配备灵活的 fast-API 后端。 遥测与可观测性：由 Prometheus 和 Grafana 技术栈共同驱动可用于生产环境的指标抓取和仪表板展示。 .. 技术栈 前端：React / 现代 Web 框架（启用 WebSocket） 后端与 API：Python（可能是 FastAPI/Flask）/ Node.js，REST API 文档 SIEM/SIEM-lite 与自动化：TheHive, Cassandra, Sigma Engine 指标与监控：Prometheus, Grafana AI/ML：Scikit-Learn (IsolationForest, RandomForest) 部署：Docker, Docker Compose # 这个项目是由我和我的搭档共同完成的 ....

标签：AMSI绕过, Apex, SOAR, XDR平台, 威胁检测, 安全运营中心, 微服务架构, 机器学习, 网络映射, 自定义请求头, 请求拦截, 逆向工具