nidishaadithya/SentinelEDR
GitHub: nidishaadithya/SentinelEDR
一款本地部署的端点检测与响应(EDR)平台,集成 Sysmon 与 Windows 事件日志,提供实时威胁检测、MITRE ATT&CK 映射和 SOC 仪表板,用于演示端点安全监控与分析。
Stars: 0 | Forks: 0
# Sentinel EDR
Sentinel EDR 是一个本地托管的端点检测与响应(EDR)平台,由 **Nidish Aadithya** 作为网络安全项目开发。
该项目演示了如何通过安全运营中心(SOC)仪表板收集、分析端点遥测数据,并将其转化为有意义的安全警报。它将 Windows 事件日志、Sysmon、实时威胁检测、MITRE ATT&CK 映射和实时监控集成到一个平台中。
该项目的主要目标是在本地环境中演示实际的 EDR 概念、端点监控和威胁分析。
## 功能
### 仪表板
- 实时系统指标
- 实时威胁监控
- 安全警报概览
- 基于 WebSocket 的实时更新
### 威胁检测
- Sysmon 事件收集
- Windows 安全事件日志监控
- MITRE ATT&CK 技术映射
- 威胁严重性分类
- 手动威胁扫描
- 自动防御模式
### 分析
- 威胁趋势
- 严重性分布
- 攻击频率分析
- 排名靠前的攻击者 IP
- 端点健康统计
- 威胁情报摘要
### 端点管理
- 端点监控
- Agent 心跳追踪
- 端点状态管理
### 审计日志
- 登录历史记录
- 管理操作
- 安全事件时间线
- Sysmon 遥测
### 用户管理
- 基于角色的访问控制
- 用户创建和删除
- 管理员和 Analyst 权限
### 设置
- 自动防御配置
- 威胁阈值管理
- 系统偏好设置
## 检测能力
该平台目前可检测:
- 暴力破解攻击
- 端口扫描
- 重复的攻击者活动
- 资源滥用
- 可疑的 PowerShell 执行
- 原生 Windows 侦察
- Windows 安全事件
- Sysmon 进程活动
## 技术栈
### 前端
- React 19
- TypeScript
- Vite
- Tailwind CSS
### 后端
- Node.js
- Express.js
- WebSocket
- SQLite
### 安全技术
- Windows Sysmon
- Windows 事件日志
- MITRE ATT&CK 映射
## 安装说明
克隆仓库。
```
git clone
cd SentinelEDR
```
安装依赖并构建 SQLite 原生模块。
```
bash install.sh
```
启动应用程序。
```
npm run dev
```
打开浏览器。
```
http://localhost:3000
```
## 演示账户
应用程序在初始化数据库时会自动创建演示账户。
| 用户名 | 角色 | 密码|
|----------|------||------|
| admin | Administrator| admin123
这些账户仅供演示之用。
## 项目结构
```
SentinelEDR/
│
├── server/
│ ├── core/
│ ├── database/
│ ├── routers/
│ ├── services/
│ │ ├── collectors/
│ │ └── engine/
│ └── websocket/
│
├── src/
│ ├── assets/
│ ├── components/
│ ├── context/
│ ├── layouts/
│ ├── pages/
│ └── services/
│
├── public/
├── install.sh
├── package.json
└── README.md
```
## 注意事项
- 本项目旨在用于教育和演示目的。
- SQLite 会在应用程序启动时自动初始化。
- WebSocket 用于服务器和客户端之间的实时通信。
- 该平台专为本地运行而设计。
## 未来改进
未来版本可以扩展的一些领域包括:
- 基于机器学习的异常检测
- 多端点部署
- 邮件和 webhook 通知
- 威胁情报源集成
- Docker 支持
- 跨平台 Agent 支持
## 作者
由 **Nidish Aadithya** 开发
本项目是作为网络安全工程项目的一部分开发的,旨在演示端点检测与响应(EDR)概念、安全运营中心(SOC)工作流以及实时威胁监控。
标签:AMSI绕过, EDR, GNU通用公共许可证, MITM代理, Node.js, React, Syscalls, Sysmon, 威胁检测, 插件系统, 终端安全, 脆弱性评估, 自动化攻击