takwaturki-ops/SOC-Analyst-Dashboard-Simulated-SIEM-for-Alert-Detection-Incident-Response
GitHub: takwaturki-ops/HIDS-Pipeline-d-Alerte-R-silient-Challenge-SecOps-Automation
一个模拟安全运营中心工作流程的 SIEM 仪表盘,通过日志采集、检测规则和事件管理帮助学习者实践告警检测与事件响应。
Stars: 0 | Forks: 0
# SOC Analyst Dashboard – 用于告警检测与事件响应的模拟 SIEM
一个实践性的网络安全项目,模拟了 SOC(安全运营中心)的工作流程:日志接入、告警检测、分诊以及事件响应。
## 概述
本项目是一个为学习和丰富作品集而构建的**模拟 SIEM 风格的 SOC dashboard**。
它演示了如何收集安全日志、通过检测规则进行分析,并将其转化为可操作的告警/事件。
## 主要功能
- 接入模拟日志(身份验证、系统、网络)
- 应用检测规则生成告警
- 告警管理(Open / In Progress / Resolved / False Positive)
- 基于单个或多个告警创建事件
- 安全指标仪表盘(严重程度分布、时间线、热门规则、MTTR)
- 搜索、过滤和调查事件
## 检测用例(示例)
- 暴力破解登录尝试(短时间内多次登录失败)
- 端口扫描行为
- 可疑的命令执行模式
- 异常的出站流量激增(可能的数据外发)
## 技术栈
- **Frontend:** React, Tailwind CSS, Recharts
- **Backend:** FastAPI (Python)
- **Database:** PostgreSQL
- **数据模拟:** Python 日志生成脚本
- **可选:** Docker / Docker Compose
## 项目结构
```
soc-analyst-dashboard/
├─ backend/ # FastAPI app, API routes, detection engine
├─ frontend/ # React dashboard UI
├─ simulator/ # Log/event generators and attack scenarios
├─ docs/ # Architecture notes, rules, playbooks
├─ docker-compose.yml
└─ README.md
```
## 数据模型(简化的)
- `logs`:来自多个来源的原始事件
- `alerts`:由规则生成的检测
- `incidents`:由分析师工作流处理的分组告警
- `incident_alerts`:事件与告警之间的映射表
## API Endpoints(示例)
- `POST /logs` – 接入日志事件
- `GET /logs` – 列出/搜索日志
- `GET /alerts` – 列出/过滤告警
- `PATCH /alerts/{id}` – 更新告警状态
- `POST /incidents` – 从告警创建事件
- `PATCH /incidents/{id}` – 更新事件
- `GET /metrics/overview` – SOC KPIs
- `GET /metrics/timeline` – 告警时间分布
## 运行方式(示例)
### 1) 克隆仓库
```
git clone https://github.com//.git
cd
```
### 2) 启动数据库
```
docker compose up -d db
```
### 3) 运行后端
```
cd backend
pip install -r requirements.txt
uvicorn app.main:app --reload
```
### 4) 运行前端
```
cd ../frontend
npm install
npm run dev
```
### 5) 运行模拟器
```
cd ../simulator
python generate_logs.py
```
## 展现的技能
- 安全监控与检测工程基础知识
- SOC 告警分诊与事件生命周期处理
- 日志规范化和事件关联逻辑
- API 开发与仪表盘可视化
- 网络安全与软件工程的实际整合
## 路线图
- [ ] 为每条规则提供 MITRE ATT&CK 映射
- [ ] 基于角色的访问控制(SOC Analyst / Admin)
- [ ] 使用 WebSockets 进行实时流传输
- [ ] 将告警/事件导出为 CSV/JSON
- [ ] 针对检测规则的单元/集成测试
## 免责声明
本项目仅供在受控的实验室环境中用于**教育目的**。
请勿在未经授权的系统上运行攻击性/安全测试技术。
## 作者
****
接受过 Security+ 培训 | SOC Analyst 学习者 | 网络安全 + 开发项目
标签:AV绕过, FastAPI, React, Syscalls, 告警检测, 安全运营, 扫描框架, 测试用例, 请求拦截, 逆向工具