riteshkumar800/Threat-Detection-Incident-Response-Platform

# SIEM 仪表板 一个全栈安全信息与事件管理 (SIEM) 平台，提供实时日志摄取、事件关联、告警管理以及基于 MITRE ATT&CK 的攻击模拟。 该平台旨在帮助用户了解现代安全运营中心 (SOC) 如何监控、检测和调查安全事件。 ## 功能 ### 实时日志监控 * 实时收集安全事件 * 集中式事件存储 * 可搜索的日志查看器 * 实时事件更新 ### 事件关联引擎 支持多种检测规则类型： * 阈值规则 * 序列规则 * 聚合规则 自动关联事件并生成告警。 ### 告警管理 * 告警生成 * 告警调查工作流 * 告警确认 * 告警解决 * 误报处理 ### MITRE ATT&CK 模拟 映射到 MITRE ATT&CK 技术的内置攻击模拟场景： * 暴力破解攻击 * DNS 隧道 * 钓鱼攻击 * 权限提升 ### 仪表板分析 * 事件时间线 * 严重性分布 * 告警统计 * 热门事件源 * 未解决告警追踪 ## 架构 ``` Browser (React) │ ▼ Nginx │ ▼ Flask Backend │ ┌──────┴──────┐ ▼ ▼ MongoDB Redis ``` ### 组件 #### 前端 * React 19 * TypeScript * Vite * TanStack Query * Zustand #### 后端 * Flask * Gunicorn * Pydantic #### 数据层 * MongoDB * Redis Streams #### 基础设施 * Docker * Docker Compose * Nginx ## 项目结构 ``` siem-dashboard/ │ ├── frontend/ ├── backend/ ├── conf/ ├── assets/ ├── learn/ ├── compose.yml └── README.md ``` ## 快速开始 ### 前置条件 * Docker Desktop * Docker Compose 验证安装： ``` docker --version docker compose version ``` ### 克隆仓库 ``` git clone cd siem-dashboard ``` ### 创建环境文件 ``` cp .env.example .env ``` ### 启动平台 ``` docker compose up -d ``` ### 验证容器 ``` docker ps ``` 预期的服务： ``` siem-nginx siem-backend siem-mongo siem-redis ``` ### 访问仪表板 打开： ``` http://localhost:8431 ``` ## 可用页面 ### 仪表板 提供以下内容的概览： * 总事件数 * 总告警数 * 未解决告警 * 严重告警 * 事件时间线 * 严重性分布 ### 日志查看器 浏览并调查收集到的安全事件。 ### 告警 管理并调查生成的告警。 ### 规则 查看并管理事件关联规则。 ### 场景 启动攻击模拟，以生成安全事件并测试检测逻辑。 ## 技术栈 | 层级 | 技术 | | ---------------- | ----------------------- | | 前端 | React, TypeScript, Vite | | 后端 | Flask, Gunicorn | | 数据库 | MongoDB | | 缓存/流 | Redis | | 容器化 | Docker | | 反向代理 | Nginx | ## 学习目标 本项目演示了： * SIEM 基础知识 * 事件关联 * 威胁检测 * 告警管理 * MITRE ATT&CK 映射 * Docker 化应用部署 * 全栈安全工程 ## 免责声明 本项目仅供教育和研究目的使用。攻击模拟仅应在受控环境和经授权的系统中执行。

标签：Flask, IP 地址批量处理, React, Syscalls, Web报告查看器, 告警管理, 安全运营中心, 搜索引擎查询, 网络映射, 自动化攻击, 请求拦截