Vyshnavimyla28/SOC-Alert-Correlation-Incident-Response-Dashboard-

# SOC 告警关联与事件响应仪表板 这是一个生产级、高响应性的网络安全管理平台，旨在聚合安全日志，运行基于规则的事件关联引擎，识别实时异常（DDoS、暴力破解、端口扫描 + 漏洞利用和权限提升），对严重程度进行分类，自动升级为事件，并执行事件响应 playbook。 ## 项目交付物 该工作区包含完整的项目源代码： * **`/app`**：模块化 Flask 代码（Blueprints、Models、Services、Templates 和 Static 资产）。 * **`app.py`**：主应用程序运行器。 * **`config.py`**：安全和数据库配置。 * **`requirements.txt`**：完整的 Python 依赖项。 * **`sample_dataset.csv`**：模拟网络威胁的 CSV 日志数据集。 * **`screenshots/`**：用于存放项目截图的占位文件夹。 * **`INSTALLATION.md`**：设置和运行环境的指南。 * **`USER_MANUAL.md`**：面向 SOC 分析师的运维说明。 * **`API_DOCS.md`**：开发者 API endpoint 和关联逻辑文档。 ## 技术栈 * **语言**：Python 3.12 * **框架**：Flask * **数据库**：SQLite (SQLAlchemy ORM) * **数据处理**：Pandas * **图表**：Chart.js * **CSS 系统**：Bootstrap 5 + 自定义 Cyber Glassmorphism 样式表 ## 功能与实现 1. **安全控制台身份验证**：使用 Flask-Login 进行安全的会话身份验证，通过 Flask-Limiter 对登录尝试进行速率限制，以及由 Werkzeug 支持的密码哈希处理。 2. **告警关联引擎**：使用 Pandas 对日志数据库进行滑动窗口分析检查，以触发： * **暴力破解**：同一源 IP 在 5 分钟内出现 >10 次登录失败。 * **潜在 DDoS**：同一源 IP 在 1 分钟内产生 >100 次 HTTP 请求。 * **侦察**：同一源 IP 在 15 分钟内发生端口扫描事件并随后进行漏洞利用尝试。 * **权限提升**：多次管理员登录失败（10 分钟内失败 >3 次）。 3. **自动事件升级**：根据攻击者源 IP 和事件特征将传入的告警分组到事件案例中。 4. **交互式遏制 Playbook**：允许分析人员切换事件状态（Open、Investigating、Resolved）并将遏制操作（例如封禁 IP、重置凭据密钥）记录到持久化的审计跟踪中。 5. **动态系统设置**：允许管理员在数据库中动态调整关联变量（例如阈值计数和时间范围）。

标签：Flask, 安全运营中心, 插件系统, 日志关联分析, 红队行动, 网络映射