varunkumar064/threatlens-soc

GitHub: varunkumar064/threatlens-soc

基于 Python 和 Flask 构建的实时 SOC 威胁检测与监控平台，通过日志分析、MITRE ATT&CK 映射和威胁情报富化实现安全事件的自动化检测与可视化。

Stars: 0 | Forks: 0

# 🛡️ ThreatLens

![Python](https://img.shields.io/badge/Python-3.11-blue?logo=python) ![Flask](https://img.shields.io/badge/Flask-Backend-black?logo=flask) ![Socket.IO](https://img.shields.io/badge/Socket.IO-Real--Time-white?logo=socketdotio) ![SQLite](https://img.shields.io/badge/SQLite-Database-blue?logo=sqlite) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red) ![Status](https://img.shields.io/badge/Status-Active-success)

# 🛡️ ThreatLens

安全运营中心 (SOC) 监控平台

检测 • 分析 • 监控 • 报告

## 📖 概述 ThreatLens 是一个使用 Python 和 Flask 构建的安全运营中心 (SOC) 监控平台。该平台分析日志文件，检测可疑活动，将攻击映射到 MITRE ATT&CK 框架，执行威胁情报检查，将告警存储在数据库中，并通过交互式仪表板可视化安全事件。开发此项目旨在模拟真实的 SOC 工作流程和事件监控过程。 ## 🚀 功能 ### 🚨 威胁检测 * 暴力破解攻击检测 * 端口扫描检测 * 可疑登录检测 * 严重性分类 * 威胁评分 ### 🧠 威胁情报 * 已知恶意 IP 检测 * 威胁情报富化 * 风险评分 ### 🗺 MITRE ATT&CK 映射 * T1110 – 暴力破解 * T1046 – 网络服务发现 * T1078 – 有效账户 ### 📊 仪表板 * 告警总数统计 * 高危严重性告警 * 威胁分布图表 * 威胁评分分析 * 搜索功能 ### 📄 报告 * PDF 事件报告 * 告警文档 * 安全事件追踪 ## 🏗️ 架构 ``` Log Files │ ▼ Detection Engine │ ├── Brute Force Detection ├── Port Scan Detection └── Suspicious Login Detection │ ▼ MITRE ATT&CK Mapping │ ▼ Threat Intelligence │ ▼ SQLite Database │ ▼ Flask Backend │ ▼ SOC Dashboard ``` ## 🔍 检测模块 ### 暴力破解检测检测来自同一 IP 地址的重复失败登录尝试。示例： ``` FAILED_LOGIN 192.168.1.101 FAILED_LOGIN 192.168.1.101 FAILED_LOGIN 192.168.1.101 FAILED_LOGIN 192.168.1.101 FAILED_LOGIN 192.168.1.101 ``` ### 端口扫描检测检测网络扫描活动。示例： ``` PORT_SCAN 10.10.10.10 ``` ### 可疑登录检测检测潜在的未经授权登录尝试。示例： ``` SUSPICIOUS_LOGIN 203.0.113.50 ``` ## 🛠️ 使用的技术 ### 后端 * Python * Flask * SQLite ### 前端 * HTML * CSS * Chart.js * Jinja2 ### 报告 * ReportLab ### 安全概念 * SOC 运营 * 威胁检测 * 威胁情报 * MITRE ATT&CK 框架 * 事件监控 ## 📂 项目结构 ``` ThreatLens/ │ ├── app.py │ ├── detection/ │ ├── detector.py │ ├── brute_force.py │ ├── port_scan.py │ └── suspicious_login.py │ ├── database/ │ └── db.py │ ├── mitre/ │ └── attack_mapping.py │ ├── threat_intel/ │ └── intel_checker.py │ ├── reports/ │ └── report_generator.py │ ├── dashboard/ │ ├── templates/ │ └── static/ │ ├── logs/ │ └── auth.log │ └── README.md ``` ## ⚙️ 安装说明克隆仓库： ``` git clone https://github.com/varunkumar0164/ThreatLens.git cd ThreatLens-SOC-Platform ``` 创建虚拟环境： ``` python3 -m venv venv ``` 激活虚拟环境： ``` source venv/bin/activate ``` 安装依赖项： ``` pip install flask pip install reportlab ``` 运行应用程序： ``` python app.py ``` 打开： ``` http://127.0.0.1:5000 ``` ## 📸 截图添加以下内容的截图： * 仪表板 * 告警页面 * 威胁情报页面 * 报告页面 ## 🎯 学习成果这个项目帮助我获得了以下方面的实践经验： * 日志分析 * 威胁检测 * SOC 运营 * MITRE ATT&CK 映射 * 威胁情报 * 事件报告 * Flask 开发 * 数据库管理 ## 🚀 路线图 - [x] 日志监控 - [x] 实时仪表板 - [x] WebSocket 通知 - [x] MITRE ATT&CK 映射 - [x] 威胁情报 ### 即将推出 - [ ] GeoIP 攻击图 - [ ] AbuseIPDB 集成 - [ ] VirusTotal 集成 - [ ] Sigma 规则引擎 - [ ] 资产发现 - [ ] REST API - [ ] 用户身份验证 - [ ] AI 事件摘要 ## 👨‍💻 作者 **Pavanakumara B** GitHub: https://github.com/pavanakumarab LinkedIn: https://www.linkedin.com/in/pavanakumarab/

标签：AMSI绕过, Cloudflare, MITRE ATT&CK, Python Flask, 后端开发, 威胁情报, 威胁检测, 安全运营中心, 开发者工具, 插件系统, 红队行动, 网络映射, 逆向工具