takwaturki-ops/SOC-Analyst-Dashboard-Simulated-SIEM-for-Alert-Detection-Incident-Response

GitHub: takwaturki-ops/HIDS-Pipeline-d-Alerte-R-silient-Challenge-SecOps-Automation

一个模拟安全运营中心工作流程的 SIEM 仪表盘,通过日志采集、检测规则和事件管理帮助学习者实践告警检测与事件响应。

Stars: 0 | Forks: 0

# SOC Analyst Dashboard – 用于告警检测与事件响应的模拟 SIEM 一个实践性的网络安全项目,模拟了 SOC(安全运营中心)的工作流程:日志接入、告警检测、分诊以及事件响应。 ## 概述 本项目是一个为学习和丰富作品集而构建的**模拟 SIEM 风格的 SOC dashboard**。 它演示了如何收集安全日志、通过检测规则进行分析,并将其转化为可操作的告警/事件。 ## 主要功能 - 接入模拟日志(身份验证、系统、网络) - 应用检测规则生成告警 - 告警管理(Open / In Progress / Resolved / False Positive) - 基于单个或多个告警创建事件 - 安全指标仪表盘(严重程度分布、时间线、热门规则、MTTR) - 搜索、过滤和调查事件 ## 检测用例(示例) - 暴力破解登录尝试(短时间内多次登录失败) - 端口扫描行为 - 可疑的命令执行模式 - 异常的出站流量激增(可能的数据外发) ## 技术栈 - **Frontend:** React, Tailwind CSS, Recharts - **Backend:** FastAPI (Python) - **Database:** PostgreSQL - **数据模拟:** Python 日志生成脚本 - **可选:** Docker / Docker Compose ## 项目结构 ``` soc-analyst-dashboard/ ├─ backend/ # FastAPI app, API routes, detection engine ├─ frontend/ # React dashboard UI ├─ simulator/ # Log/event generators and attack scenarios ├─ docs/ # Architecture notes, rules, playbooks ├─ docker-compose.yml └─ README.md ``` ## 数据模型(简化的) - `logs`:来自多个来源的原始事件 - `alerts`:由规则生成的检测 - `incidents`:由分析师工作流处理的分组告警 - `incident_alerts`:事件与告警之间的映射表 ## API Endpoints(示例) - `POST /logs` – 接入日志事件 - `GET /logs` – 列出/搜索日志 - `GET /alerts` – 列出/过滤告警 - `PATCH /alerts/{id}` – 更新告警状态 - `POST /incidents` – 从告警创建事件 - `PATCH /incidents/{id}` – 更新事件 - `GET /metrics/overview` – SOC KPIs - `GET /metrics/timeline` – 告警时间分布 ## 运行方式(示例) ### 1) 克隆仓库 ``` git clone https://github.com//.git cd ``` ### 2) 启动数据库 ``` docker compose up -d db ``` ### 3) 运行后端 ``` cd backend pip install -r requirements.txt uvicorn app.main:app --reload ``` ### 4) 运行前端 ``` cd ../frontend npm install npm run dev ``` ### 5) 运行模拟器 ``` cd ../simulator python generate_logs.py ``` ## 展现的技能 - 安全监控与检测工程基础知识 - SOC 告警分诊与事件生命周期处理 - 日志规范化和事件关联逻辑 - API 开发与仪表盘可视化 - 网络安全与软件工程的实际整合 ## 路线图 - [ ] 为每条规则提供 MITRE ATT&CK 映射 - [ ] 基于角色的访问控制(SOC Analyst / Admin) - [ ] 使用 WebSockets 进行实时流传输 - [ ] 将告警/事件导出为 CSV/JSON - [ ] 针对检测规则的单元/集成测试 ## 免责声明 本项目仅供在受控的实验室环境中用于**教育目的**。 请勿在未经授权的系统上运行攻击性/安全测试技术。 ## 作者 **** 接受过 Security+ 培训 | SOC Analyst 学习者 | 网络安全 + 开发项目
标签:AV绕过, FastAPI, React, Syscalls, 告警检测, 安全运营, 扫描框架, 测试用例, 请求拦截, 逆向工具