terraicy/DeceptionGrid

GitHub: terraicy/DeceptionGrid

DeceptionGrid 是一款防御型蜜罐与欺骗平台,通过虚假资产和 honeytoken 帮助 SOC 团队追踪可疑交互并生成告警,实现对未授权访问的早期发现。

Stars: 0 | Forks: 0

# DeceptionGrid V1.1 用于虚假资产、honeytoken、可疑交互追踪和 SOC 告警工作流的防御型 honeypot 与欺骗平台。 ## 产品概述 DeceptionGrid 是一款 KRYNEX Labs 安全产品,用于创建诱饵资产、追踪可疑交互、生成告警,并帮助 SOC 团队及早发现侦察或未经授权的访问尝试。公开的 MVP 专注于安全的本地演示工作流、租户隔离的 API 以及深色企业仪表板。 ## 主要功能 - 欺骗资产清单,包含虚假的 SSH、HTTP 管理、数据库、API 和 honeytoken 诱饵。 - 可疑交互事件时间轴,包含来源 IP、user agent、payload 预览和严重性。 - 针对中、高和严重级别欺骗事件的告警工作流。 - 资产详情下钻,包含近期基于资产的事件及安全操作边界说明。 - Honeytoken 创建,支持一次性显示原始 token 并存储 token 哈希。 - 针对用户和资源变更的审计日志可见性。 - 安全的演示模拟器,仅创建本地数据库事件和告警。 ## 架构 React/Vite 前端与 FastAPI API 进行通信。PostgreSQL 用于存储组织、用户、欺骗资产、事件、告警、honeytoken 和审计日志。Redis 可用于未来的速率限制、队列或 pub/sub 工作流。 ## 技术栈 - 前端:React, TypeScript, Vite, TailwindCSS - 后端:FastAPI, SQLAlchemy, Alembic, Pydantic - 数据:PostgreSQL, Redis - 认证:JWT, bcrypt 密码哈希 - 打包:Docker Compose ## 截图 ![DeceptionGrid 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/eb/eb0887036d8e19f132280728c939d753d944ce01266507196d50ed94d113a5cc.png) | 资产 | 资产详情 | 设置 | | --- | --- | --- | | ![DeceptionGrid 资产](https://static.pigsec.cn/wp-content/uploads/repos/cas/4a/4a876e543f74fa074253a442473cf0881823a2708d7464409b60b85061308e36.png) | ![DeceptionGrid 资产详情](https://static.pigsec.cn/wp-content/uploads/repos/cas/aa/aad98f92eec9a5f954602cc9005709be3fe405a0c78f24e81e0b9e103097dd8c.png) | ![DeceptionGrid 设置](https://static.pigsec.cn/wp-content/uploads/repos/cas/7c/7c5ec8cf8c274f29c0ee088eaa60a273e9687695c742cf595ab28d8a57cf0468.png) | ## 快速开始 ``` cp .env.example .env docker compose up --build docker compose exec api alembic upgrade head docker compose exec api python -m app.core.seed ``` 前端: API: 演示凭据:`demo@deceptiongrid.io` / `Demo1234!` ## 演示模式 对于公开演示,请设置 `DEMO_MODE=true` 和 `VITE_DEMO_MODE=true`。前端可以使用预置的演示安全数据运行,而无需通过后端登录验证;当关闭演示模式时,FastAPI 后端仍支持正常的本地认证。 演示模式纯粹是合成的。它不会开启真实的 honeypot 服务、收集真实凭据、扫描网络、执行 payload 或连接到客户基础设施。 ## 公开演示准备 - 预置的演示数据应保持合成状态,并明确标记为模拟。 - 在公开托管之前,破坏性控制应保持禁用状态,或仅限于本地演示记录。 - 公开截图和演示文案应避免暗示其处于生产环境的主动监控状态。 - 托管演示应使用临时数据存储,并定期轮换演示凭据。 ## 环境变量 使用 `.env.example` 作为对公众安全的模板。请勿提交真实的密钥。关键变量包括 `DATABASE_URL`, `REDIS_URL`, `JWT_SECRET`, `ENVIRONMENT`, `DEMO_MODE`, `CORS_ALLOWED_ORIGINS`, `VITE_API_URL` 和 `VITE_DEMO_MODE`。 ## API 概览 - `POST /api/v1/auth/register` - 创建本地组织所有者。 - `POST /api/v1/auth/login` - 为本地认证签发 JWT。 - `GET /api/v1/me` - 当前用户资料。 - `/api/v1/assets` - 欺骗资产清单。 - `/api/v1/assets/{id}` - 资产详情、状态和配置工作流。 - `/api/v1/events` 和 `/api/v1/events/ingest` - 可疑交互事件工作流。 - `/api/v1/alerts` - SOC 告警列表和状态更新。 - `/api/v1/honeytokens` - 基于哈希的 honeytoken 管理。 - `/api/v1/audit-logs` - 基于租户的审计追踪。 - `/api/v1/demo/simulate/*` - 安全的本地演示事件模拟器。 ## 项目结构 ``` apps/api/ FastAPI API, SQLAlchemy models, repositories, services and Alembic migrations apps/web/ React dashboard assets/ Public README screenshots docs/ Architecture, API, security, deployment and audit notes docker-compose.yml ``` ## 安全范围 DeceptionGrid 仅用于防御。它不包含恶意软件、凭据窃取、漏洞利用、隐蔽、持久化、绕过 AV 或未经授权的远程控制。演示模拟器仅在应用程序数据库中生成安全的本地事件和告警。 Honeytoken 是诱饵标记。原始 token 值在创建时仅显示一次,之后仅存储哈希和简短前缀。 ## KRYNEX 生态系统 DeceptionGrid 可以与以下系统集成: - KRYNEX Nexus,用于产品注册、使用情况和告警摘要。 - LogForge,用于将欺骗事件存储为可搜索的日志。 - SentinelX,用于将欺骗告警与端点遥测数据进行关联。 - VulnScope,用于将可疑活动与易受攻击的资产进行关联。 - ThreatVault,用于在欺骗事件包含文件指示器时分析可疑文件。 这些集成已被记录为支持集成的 API 模式。在此 MVP 中,它们默认不启用。 ## 路线图 - 添加只读的公开演示控制。 - 添加 API 密钥管理界面,用于受控的事件摄取。 - 添加 LogForge 和 Nexus 的集成导出配置。 - 添加私有 KRYNEX 环境的部署配置。 - 添加租户隔离集成测试以及私有部署的速率限制。 ## 许可证 MIT。
标签:AV绕过, CISA项目, FastAPI, React, Syscalls, 安全运营中心, 密码管理, 搜索引擎查询, 欺骗技术, 测试用例, 版权保护, 网络映射, 自动化攻击, 蜜罐, 证书利用, 防御性安全