MetaMaaz/threatlens
GitHub: MetaMaaz/threatlens
一个蓝队全栈威胁情报平台,支持 IOC 的收集、富化、评分、关联与调查,端到端还原 SOC 分析师的核心工作流程。
Stars: 0 | Forks: 0
# 🛡️ ThreatLens — 威胁情报平台
一个蓝队威胁情报平台,用于收集、富化、评分、关联和调查入侵指标(IOC)。作为从零开始的作品集项目构建,旨在展示 SOC 分析师的工作流程、安全的 API 设计以及全栈工程。
[](https://github.com/MetaMaaz/threatlens/actions/workflows/ci.yml)
## 为什么做这个项目
威胁情报平台位于 SOC 的核心:分析师向其输入指标,平台根据多个情报源对这些指标进行富化和评分,标记出危险的指标,并协助分析师进行调查。ThreatLens 端到端地重新实现了这一核心循环,使得整个工作流程在代码中清晰可见——包括类型检测与验证、富化引擎、透明的威胁评分模型、关联图、基于规则的告警、RBAC 以及审计日志。
它可以在**零外部依赖或 API 密钥**的情况下运行——富化功能会回退到确定性的模拟 provider——因此任何人都可以克隆它,并通过一条命令拥有一个可运行的平台。当提供密钥时,真实的情报源(AbuseIPDB, VirusTotal, AlienVault OTX)会自动启用。
## 快速开始
```
git clone https://github.com/MetaMaaz/threatlens.git
cd threatlens
docker compose up --build
```
然后打开:
| 服务 | URL |
|---|---|
| Web UI | http://localhost:5173 |
| API + 交互式文档 (Swagger) | http://localhost:8000/docs |
| 健康检查 | http://localhost:8000/api/health |
**演示登录**(首次启动时自动注入):
| 用户名 | 密码 | 角色 |
|---|---|---|
| `admin` | `admin123` | 管理员 |
| `analyst` | `analyst123` | 分析师 |
### 不使用 Docker 运行
```
# Backend
cd backend
pip install -r requirements.txt
python -m app.seed # create users + sample data
uvicorn app.main:app --reload # http://localhost:8000
# Frontend(单独的 terminal)
cd frontend
npm install
npm run dev # http://localhost:5173
```
## 截图