terraicy/DeceptionGrid
GitHub: terraicy/DeceptionGrid
DeceptionGrid 是一款防御型蜜罐与欺骗平台,通过虚假资产和 honeytoken 帮助 SOC 团队追踪可疑交互并生成告警,实现对未授权访问的早期发现。
Stars: 0 | Forks: 0
# DeceptionGrid V1.1
用于虚假资产、honeytoken、可疑交互追踪和 SOC 告警工作流的防御型 honeypot 与欺骗平台。
## 产品概述
DeceptionGrid 是一款 KRYNEX Labs 安全产品,用于创建诱饵资产、追踪可疑交互、生成告警,并帮助 SOC 团队及早发现侦察或未经授权的访问尝试。公开的 MVP 专注于安全的本地演示工作流、租户隔离的 API 以及深色企业仪表板。
## 主要功能
- 欺骗资产清单,包含虚假的 SSH、HTTP 管理、数据库、API 和 honeytoken 诱饵。
- 可疑交互事件时间轴,包含来源 IP、user agent、payload 预览和严重性。
- 针对中、高和严重级别欺骗事件的告警工作流。
- 资产详情下钻,包含近期基于资产的事件及安全操作边界说明。
- Honeytoken 创建,支持一次性显示原始 token 并存储 token 哈希。
- 针对用户和资源变更的审计日志可见性。
- 安全的演示模拟器,仅创建本地数据库事件和告警。
## 架构
React/Vite 前端与 FastAPI API 进行通信。PostgreSQL 用于存储组织、用户、欺骗资产、事件、告警、honeytoken 和审计日志。Redis 可用于未来的速率限制、队列或 pub/sub 工作流。
## 技术栈
- 前端:React, TypeScript, Vite, TailwindCSS
- 后端:FastAPI, SQLAlchemy, Alembic, Pydantic
- 数据:PostgreSQL, Redis
- 认证:JWT, bcrypt 密码哈希
- 打包:Docker Compose
## 截图

| 资产 | 资产详情 | 设置 |
| --- | --- | --- |
|  |  |  |
## 快速开始
```
cp .env.example .env
docker compose up --build
docker compose exec api alembic upgrade head
docker compose exec api python -m app.core.seed
```
前端:
API:
演示凭据:`demo@deceptiongrid.io` / `Demo1234!`
## 演示模式
对于公开演示,请设置 `DEMO_MODE=true` 和 `VITE_DEMO_MODE=true`。前端可以使用预置的演示安全数据运行,而无需通过后端登录验证;当关闭演示模式时,FastAPI 后端仍支持正常的本地认证。
演示模式纯粹是合成的。它不会开启真实的 honeypot 服务、收集真实凭据、扫描网络、执行 payload 或连接到客户基础设施。
## 公开演示准备
- 预置的演示数据应保持合成状态,并明确标记为模拟。
- 在公开托管之前,破坏性控制应保持禁用状态,或仅限于本地演示记录。
- 公开截图和演示文案应避免暗示其处于生产环境的主动监控状态。
- 托管演示应使用临时数据存储,并定期轮换演示凭据。
## 环境变量
使用 `.env.example` 作为对公众安全的模板。请勿提交真实的密钥。关键变量包括 `DATABASE_URL`, `REDIS_URL`, `JWT_SECRET`, `ENVIRONMENT`, `DEMO_MODE`, `CORS_ALLOWED_ORIGINS`, `VITE_API_URL` 和 `VITE_DEMO_MODE`。
## API 概览
- `POST /api/v1/auth/register` - 创建本地组织所有者。
- `POST /api/v1/auth/login` - 为本地认证签发 JWT。
- `GET /api/v1/me` - 当前用户资料。
- `/api/v1/assets` - 欺骗资产清单。
- `/api/v1/assets/{id}` - 资产详情、状态和配置工作流。
- `/api/v1/events` 和 `/api/v1/events/ingest` - 可疑交互事件工作流。
- `/api/v1/alerts` - SOC 告警列表和状态更新。
- `/api/v1/honeytokens` - 基于哈希的 honeytoken 管理。
- `/api/v1/audit-logs` - 基于租户的审计追踪。
- `/api/v1/demo/simulate/*` - 安全的本地演示事件模拟器。
## 项目结构
```
apps/api/ FastAPI API, SQLAlchemy models, repositories, services and Alembic migrations
apps/web/ React dashboard
assets/ Public README screenshots
docs/ Architecture, API, security, deployment and audit notes
docker-compose.yml
```
## 安全范围
DeceptionGrid 仅用于防御。它不包含恶意软件、凭据窃取、漏洞利用、隐蔽、持久化、绕过 AV 或未经授权的远程控制。演示模拟器仅在应用程序数据库中生成安全的本地事件和告警。
Honeytoken 是诱饵标记。原始 token 值在创建时仅显示一次,之后仅存储哈希和简短前缀。
## KRYNEX 生态系统
DeceptionGrid 可以与以下系统集成:
- KRYNEX Nexus,用于产品注册、使用情况和告警摘要。
- LogForge,用于将欺骗事件存储为可搜索的日志。
- SentinelX,用于将欺骗告警与端点遥测数据进行关联。
- VulnScope,用于将可疑活动与易受攻击的资产进行关联。
- ThreatVault,用于在欺骗事件包含文件指示器时分析可疑文件。
这些集成已被记录为支持集成的 API 模式。在此 MVP 中,它们默认不启用。
## 路线图
- 添加只读的公开演示控制。
- 添加 API 密钥管理界面,用于受控的事件摄取。
- 添加 LogForge 和 Nexus 的集成导出配置。
- 添加私有 KRYNEX 环境的部署配置。
- 添加租户隔离集成测试以及私有部署的速率限制。
## 许可证
MIT。
标签:AV绕过, CISA项目, FastAPI, React, Syscalls, 安全运营中心, 密码管理, 搜索引擎查询, 欺骗技术, 测试用例, 版权保护, 网络映射, 自动化攻击, 蜜罐, 证书利用, 防御性安全