ajai-cybersecurity/soc-threat-detection-platform

# SOC 平台 – 威胁检测与事件响应系统      ## 概述 SOC 平台是一个使用 Python Flask 构建的安全运营中心 (SOC) 模拟平台。它允许分析师上传和分析安全日志，使用基于规则的检测逻辑检测威胁，管理告警和事件，利用威胁情报源丰富指标，执行基本的取证分析，并生成专业的安全报告。 该平台旨在通过一个集中的 Web 界面演示核心的 SOC 分析师工作流和安全监控概念。 ## 功能 ### 安全仪表板 - 实时 SOC 仪表板 - 告警统计 - 事件统计 - 严重性分布 - 威胁趋势可视化 - 头部攻击者可见性 ### 日志分析 支持分析： - Windows 事件日志 - Sysmon 日志 - Linux 身份验证日志 - 防火墙日志 - Apache 访问日志 - Nginx 访问日志 功能： - 日志上传 - 自动日志类型检测 - 事件解析 - 严重性分类 - 威胁标记 - 搜索和过滤 ### 威胁检测引擎 基于规则的检测框架，能够识别： - 暴力破解攻击 - 密码喷洒攻击 - 凭据填充 - 账户锁定 - 权限提升 - 持久化技术 - 防御规避 - 可疑进程活动 - 服务安装事件 - 计划任务修改 ### MITRE ATT&CK 映射 检测到的威胁会自动映射到 MITRE ATT&CK 技术。 示例： | 威胁 | MITRE 技术 | | -------------------- | --------------- | | 暴力破解 | T1110.001 | | 密码喷洒 | T1110.003 | | 凭据填充 | T1110.004 | | 权限提升 | T1078 | | 持久化 | T1053 | | 防御规避 | T1070 | ### 告警管理 功能： - 告警仪表板 - 严重性分类 - 告警调查 - 告警状态追踪 - 告警过滤 - MITRE 映射可见性 严重性级别： - 低危 - 中危 - 高危 - 严重 ### 事件管理 功能： - 事件创建 - 事件追踪 - 事件状态管理 - 调查工作流 - 相关告警关联 - 事件记录 ### 威胁情报 集成 VirusTotal。 支持： - IP 信誉查询 - 域名信誉查询 - URL 信誉查询 - 文件哈希信誉查询 威胁情报信息包括： - 信誉评分 - 恶意检测计数 - 威胁标签 - 指标分类 ### 数字取证 基本取证功能： - MD5 哈希生成 - SHA1 哈希生成 - SHA256 哈希生成 - 痕迹追踪 - 证据记录 ### 安全报告 生成： - PDF 安全报告 - CSV 安全报告 报告包括： - 执行摘要 - 威胁统计 - 严重性分布 - 头部威胁类别 - MITRE ATT&CK 映射 - 事件摘要 ## 技术栈 ### 后端 - Python - Flask - SQLAlchemy - SQLite ### 前端 - HTML - CSS - Bootstrap - JavaScript - Chart.js ### 安全 - MITRE ATT&CK 框架 - VirusTotal API - 基于规则的检测引擎 ### 报告 - ReportLab - CSV 导出 ## 项目架构 ``` ┌────────────────────┐ │ Security Logs │ └─────────┬──────────┘ │ ▼ ┌────────────────────┐ │ Log Parsers │ └─────────┬──────────┘ │ ▼ ┌────────────────────┐ │ Detection Engine │ └─────────┬──────────┘ │ ▼ ┌────────────────────┐ │ Alerts │ └─────────┬──────────┘ │ ▼ ┌────────────────────┐ │ Incidents │ └─────────┬──────────┘ │ ▼ ┌────────────────────┐ │ Threat Intelligence│ └─────────┬──────────┘ │ ▼ ┌────────────────────┐ │ Reports │ └────────────────────┘ ``` ## 安装说明 ### 克隆仓库 ``` git clone https://github.com/ajai-cybersecurity/soc-threat-detection-platform.git cd soc-threat-detection-platform ``` ### 创建虚拟环境 ``` py -m venv venv ``` 激活： ``` venv\Scripts\activate ``` ### 安装依赖 ``` pip install -r requirements.txt ``` ### 配置环境 创建 `.env` ``` SECRET_KEY=your_secret_key DATABASE_URL=sqlite:///soc_platform.db VIRUSTOTAL_API_KEY=your_virustotal_api_key ``` ### 运行应用 ``` py run.py ``` 打开： ``` http://localhost:5000 ``` ## 截图 | 仪表板 | 告警 | |------------|------------| |  |  | | 事件响应 | 日志分析 | |------------|------------| |  |  | | 威胁情报 | 报告 | |------------|------------| |  |  | ## 未来增强计划 计划的升级： - Sigma 规则支持 - YARA 集成 - IOC 狩猎模块 - 实时日志监控 - SOAR 自动化 - 高级关联引擎 - 威胁狩猎仪表板 - PostgreSQL 支持 - 多租户架构 - Wazuh 集成 - SIEM 集成 ## 学习目标 本项目演示了： - 安全监控 - 威胁检测 - 事件响应 - 日志分析 - 威胁情报 - 数字取证 - MITRE ATT&CK 映射 - 安全报告 - Flask 应用程序开发 ## 作者 **Ajai M** 网络安全工程师 | SOC 分析师 | DFIR 爱好者 兴趣领域： - 安全运营中心 (SOC) - 数字取证 - 事件响应 - 威胁狩猎 - 威胁情报 - 检测工程 GitHub： https://github.com/ajai-cybersecurity LinkedIn： https://www.linkedin.com/in/ajai-m-189a39351/ ## 许可证 本项目仅供教育、研究和作品集展示目的使用。

标签：AMSI绕过, Flask, Python, 域环境安全, 威胁检测, 安全运营, 库, 应急响应, 扫描框架, 无后门, 逆向工具