nidishaadithya/SentinelEDR

GitHub: nidishaadithya/SentinelEDR

一款本地部署的端点检测与响应(EDR)平台,集成 Sysmon 与 Windows 事件日志,提供实时威胁检测、MITRE ATT&CK 映射和 SOC 仪表板,用于演示端点安全监控与分析。

Stars: 0 | Forks: 0

# Sentinel EDR Sentinel EDR 是一个本地托管的端点检测与响应(EDR)平台,由 **Nidish Aadithya** 作为网络安全项目开发。 该项目演示了如何通过安全运营中心(SOC)仪表板收集、分析端点遥测数据,并将其转化为有意义的安全警报。它将 Windows 事件日志、Sysmon、实时威胁检测、MITRE ATT&CK 映射和实时监控集成到一个平台中。 该项目的主要目标是在本地环境中演示实际的 EDR 概念、端点监控和威胁分析。 ## 功能 ### 仪表板 - 实时系统指标 - 实时威胁监控 - 安全警报概览 - 基于 WebSocket 的实时更新 ### 威胁检测 - Sysmon 事件收集 - Windows 安全事件日志监控 - MITRE ATT&CK 技术映射 - 威胁严重性分类 - 手动威胁扫描 - 自动防御模式 ### 分析 - 威胁趋势 - 严重性分布 - 攻击频率分析 - 排名靠前的攻击者 IP - 端点健康统计 - 威胁情报摘要 ### 端点管理 - 端点监控 - Agent 心跳追踪 - 端点状态管理 ### 审计日志 - 登录历史记录 - 管理操作 - 安全事件时间线 - Sysmon 遥测 ### 用户管理 - 基于角色的访问控制 - 用户创建和删除 - 管理员和 Analyst 权限 ### 设置 - 自动防御配置 - 威胁阈值管理 - 系统偏好设置 ## 检测能力 该平台目前可检测: - 暴力破解攻击 - 端口扫描 - 重复的攻击者活动 - 资源滥用 - 可疑的 PowerShell 执行 - 原生 Windows 侦察 - Windows 安全事件 - Sysmon 进程活动 ## 技术栈 ### 前端 - React 19 - TypeScript - Vite - Tailwind CSS ### 后端 - Node.js - Express.js - WebSocket - SQLite ### 安全技术 - Windows Sysmon - Windows 事件日志 - MITRE ATT&CK 映射 ## 安装说明 克隆仓库。 ``` git clone cd SentinelEDR ``` 安装依赖并构建 SQLite 原生模块。 ``` bash install.sh ``` 启动应用程序。 ``` npm run dev ``` 打开浏览器。 ``` http://localhost:3000 ``` ## 演示账户 应用程序在初始化数据库时会自动创建演示账户。 | 用户名 | 角色 | 密码| |----------|------||------| | admin | Administrator| admin123 这些账户仅供演示之用。 ## 项目结构 ``` SentinelEDR/ │ ├── server/ │ ├── core/ │ ├── database/ │ ├── routers/ │ ├── services/ │ │ ├── collectors/ │ │ └── engine/ │ └── websocket/ │ ├── src/ │ ├── assets/ │ ├── components/ │ ├── context/ │ ├── layouts/ │ ├── pages/ │ └── services/ │ ├── public/ ├── install.sh ├── package.json └── README.md ``` ## 注意事项 - 本项目旨在用于教育和演示目的。 - SQLite 会在应用程序启动时自动初始化。 - WebSocket 用于服务器和客户端之间的实时通信。 - 该平台专为本地运行而设计。 ## 未来改进 未来版本可以扩展的一些领域包括: - 基于机器学习的异常检测 - 多端点部署 - 邮件和 webhook 通知 - 威胁情报源集成 - Docker 支持 - 跨平台 Agent 支持 ## 作者 由 **Nidish Aadithya** 开发 本项目是作为网络安全工程项目的一部分开发的,旨在演示端点检测与响应(EDR)概念、安全运营中心(SOC)工作流以及实时威胁监控。
标签:AMSI绕过, EDR, GNU通用公共许可证, MITM代理, Node.js, React, Syscalls, Sysmon, 威胁检测, 插件系统, 终端安全, 脆弱性评估, 自动化攻击