aaronmubanga616/NebulaSOC-ai-powered-soc-xdr-platform

# NebulaSOC — AI 驱动的 SOC/XDR 平台 NebulaSOC 是一个类似生产环境的 AI 安全运营中心（SOC）和 XDR 平台，用于 遥测数据接入、检测工程、事件关联、MITRE ATT&CK 映射、IOC 分析、威胁狩猎、实时 SOC 运营以及 AI 辅助 调查。 该项目由 Aaron .M 作为生产级网络安全工程项目构建， 结合了全栈软件开发、SOC 工作流、AI 辅助 分析和生产级 Docker 部署。 ## 核心功能 ### SOC 仪表板 - 安全指标和告警概览 - 后端连接检查 - 平台的实时运营视图 ### 遥测数据接入 - 原始遥测模拟器 - ECS 样式标准化 - Sysmon、Suricata、CloudTrail 和 Zeek 的示例事件类型 - 接入后自动进行检测评估 ### 检测工程 - Sigma 样式规则引擎 - 事件评估实验室 - MITRE ATT&CK 映射 - 检测结果生成 ### 事件响应 - 按主机、用户、源 IP、技术（Technique）和战术（Tactic）分组的关联事件 - 事件风险评分 - 事件状态更新 - ATT&CK 战术路径视图 ### 攻击图 - 可视化攻击链重建 - 技术和战术路径映射 - 基于事件的图形生成 ### AI 分析师 - 混合本地/云端 AI 调查工作流 - Ollama 本地模型支持 - Gemini/云服务提供商支持 - 从存储的遥测数据和检测上下文中进行检索 ### 数据存储层 - PostgreSQL - Redis - OpenSearch - Qdrant - Redpanda - 本地回退支持 ### 威胁狩猎 - 保存的狩猎查询 - 狩猎结果搜索 - 将发现提升为事件 ### IOC 浏览器 - IP/域名/URL/哈希分析 - IOC 风险评分 - 建议的响应操作 - 相关事件匹配 ### MITRE ATT&CK 中心 - ATT&CK 矩阵视图 - 覆盖率摘要 - 技术详情面板 - 相关的狩猎和检测思路 ### 实时运营 - WebSocket 驱动的告警流 - 实时事件订阅源 - 告警分发工作流 - 演示实时告警生成器 ### 运维控制台 - 运行时健康状况 - 深度服务检查 - 版本元数据 - 已启用的功能视图 - 生产环境操作手册 ## 技术栈 ### 前端 - Next.js - React - TypeScript - Tailwind CSS - Lucide React 图标 ### 后端 - FastAPI - Python - Pydantic - Uvicorn ### 存储和基础设施 - Docker Compose - Nginx - PostgreSQL - Redis - OpenSearch - Qdrant - Redpanda ### AI - Ollama 本地模型 - Gemini/云 LLM 支持 - 混合提供商回退设计 ## 生产环境级 Docker 架构 ``` User Browser | v Nginx Gateway :8081 | +--> Next.js Frontend :3000 | +--> FastAPI Backend :8000 | +--> PostgreSQL +--> Redis +--> OpenSearch +--> Qdrant +--> Redpanda +--> Ollama / Cloud AI Provider ``` ## 启动完整平台 首先打开 Docker Desktop，然后在项目根目录下运行： ``` docker compose -f infra/docker/docker-compose.prod.yml --env-file .env.production up -d ``` 打开： ``` http://localhost:8081 ``` API 文档： ``` http://localhost:8081/docs ``` 运维控制台： ``` http://localhost:8081/ops ``` ## 停止平台 ``` docker compose -f infra/docker/docker-compose.prod.yml --env-file .env.production down ``` ## 代码修改后重新构建 后端和前端： ``` docker compose -f infra/docker/docker-compose.prod.yml --env-file .env.production build backend frontend docker compose -f infra/docker/docker-compose.prod.yml --env-file .env.production up -d backend frontend nginx ``` 所有内容： ``` docker compose -f infra/docker/docker-compose.prod.yml --env-file .env.production up -d --build ``` ## 健康检查 ``` .\CHECK_PROD.ps1 .\SMOKE_TEST_PROD.ps1 .\TEST_STAGE12_OPERATIONS.ps1 ``` 实用的 endpoint： ``` GET /health GET /api/v1/ops/status GET /api/v1/ops/health/deep GET /api/v1/storage/health GET /api/v1/realtime/health GET /api/v1/investigation/health ``` ## 技术栈摘要 ``` Built NebulaSOC, an AI-powered SOC/XDR platform using Next.js, FastAPI, Docker Compose, PostgreSQL, Redis, OpenSearch, Qdrant, Redpanda, Sigma-style detection logic, MITRE ATT&CK mapping, real-time alert streaming, incident correlation, IOC analysis, threat hunting, and hybrid local/cloud AI investigation. ``` ## 项目状态 NebulaSOC 目前支持通过 Docker Compose 进行本地类生产环境部署。下一个主要步骤是可选的云端部署、CI/CD 自动化，以及添加实时集成，例如真实的端点遥测、SIEM 数据源或云安全日志。

标签：AI辅助分析, AI风险缓解, ATT&CK映射, Sigma检测, 命令控制, 安全运营中心, 搜索引擎查询, 数据采集, 测试用例, 版权保护, 网络映射, 自动化攻击, 逆向工具, 速率限制处理