arunsakthi2802-star/SOC-AUTOMATION-DASHBOARD
GitHub: arunsakthi2802-star/SOC-AUTOMATION-DASHBOARD
企业级 SOC 自动化仪表板,集成多源日志采集、威胁检测、告警升级、事件调查与 SOAR 自动响应,帮助安全团队高效监测和处置安全事件。
Stars: 0 | Forks: 0
# SOC 自动化仪表板
这是一个企业级的网络安全自动化与事件响应平台,旨在自动化安全运营中心 (SOC) 任务,集中处理安全日志,关联事件,触发自动告警缓解 (SOAR),并提供实时的可视化威胁分析。
**适用对象**:SOC 分析师、威胁猎手、蓝队成员、安全工程师以及学术网络安全实验室。
**开发者**:Aakash V M
## 🚀 核心模块与功能
### 1. 用户访问与 RBAC (基于角色的访问控制)
* 采用 JWT token 认证,结合健壮的加密哈希算法。
* 预置了代表管理员和 L2 分析师角色的测试用户账户。
* RBAC 守卫机制,将常规分诊与全局集成及系统设置区分开来。
### 2. 日志收集与解析
* API endpoint `/api/logs/upload`,支持接收来自 Windows Active Directory、Linux、Firewalls、Web 代理 (Nginx/Apache) 以及云源 (AWS CloudTrail) 的标准日志格式。
* 通过异步 WebSockets 将摄取的日志流实时推送到客户端仪表板。
### 3. 关联与威胁检测
* 规则引擎,检测注入向量 (SQLi, XSS)、本地权限提升漏洞利用、samdumping/Mimikatz 凭据提取以及 PowerShell 脚本滥用。
* 动态滑动窗口检查,关联历史记录条目以检测**暴力破解**和**端口扫描**行为。
* 将安全检测结果映射到标准的 **MITRE ATT&CK Framework**。
### 4. 告警与事件升级
* 自动生成带有严重性分类(严重、高、中、低)的告警。
* 高严重性和严重告警将立即提升至**事件案例看板**。
* Webhook 触发路由,用于通知相关团队(支持 Slack、Telegram、电子邮件集成)。
### 5. 案例文件与调查时间线
* 详细的事件文件,包含安全分析师评论、事件状态、指派日志以及目标 Evidence(妥协指标 - IOCs)。
* 垂直时间线按时间顺序记录分析师的所有操作以及自动化的 playbook 触发情况。
### 6. SOAR 自动化 Playbooks
* 可配置的活动 playbooks,用于管理防御性缓解措施。
* 模拟的 playbooks:**自动 IP 防火墙封锁**和**主机隔离**(模拟 EDR 沙箱化)。
* Webhook 更新将直接发送至模拟通道。
### 7. 交互式威胁情报
* 沙箱查询引擎,用于检索可疑 IP、主机域名或文件哈希的信誉等级。
* 集成了针对 **VirusTotal** 阳性检出率和 **AbuseIPDB** 置信度评级的模拟检查。
### 8. 系统合规报告与审计
* 导出工具,可将事件和活动关联结果编译成标准的 CSV 流,可直接在 Microsoft Excel 中原生打开。
* 管理员审计日志,记录分析师的每一项关键操作(登录、生成的报告、playbook 切换)。
## 🛠️ 技术栈
* **前端**:React (Vite)、TypeScript、Tailwind CSS v4、Lucide Icons、Recharts、Axios。
* **后端**:FastAPI (Python)、Motor (Async MongoDB Driver)、Pymongo、PyJWT、Bcrypt、WebSockets。
* **数据库**:MongoDB(生产环境),并自动故障转移到 **SQLite**(开箱即用的本地测试)。
* **部署**:Docker、Docker Compose、多阶段 Nginx 容器。
## 🚀 本地快速入门指南
### 前置条件
* Python 3.10+
* Node.js v18+ 和 npm v9+
### 1. 运行后端服务器
1. 导航至 `backend` 文件夹:
cd backend
2. 设置虚拟环境并安装依赖包:
python -m venv venv
.\venv\Scripts\Activate.ps1 # Windows PowerShell
# 或者:source venv/bin/activate # Linux/Mac
python -m pip install -r requirements.txt
3. 运行后端服务器:
python run.py
*API 将在 **http://localhost:8000** 启动。*
*自文档化的 Swagger UI 可在 **http://localhost:8000/docs** 访问。*
### 2. 运行日志摄取模拟器
在根工作区目录的单独终端中启动模拟器。它将向 API 注入模拟流量和网络攻击:
```
python simulator.py
```
### 3. 运行前端仪表板
1. 导航至 `frontend` 目录:
cd frontend
2. 安装依赖:
npm install --legacy-peer-deps
3. 启动 Vite 本地开发服务器:
npm run dev
*仪表板将托管在 **http://localhost:5173**。*
## 🐳 Docker Compose 部署
要通过单命令编排部署整个技术栈(MongoDB + FastAPI + React + Nginx proxy):
1. 确保 Docker Desktop 处于活动状态。
2. 在工作区根目录下执行:
docker-compose up --build
3. 在 **http://localhost:80** 访问仪表板 Web 应用程序。
## 🔐 本地测试凭据
首次加载平台时,请点击登录页面上的 **"Seed Database Users"**,或通过 Swagger 向 `/api/auth/seed` 发送 POST 请求。然后您可以使用以下凭据登录:
* **管理员账户**:
* **Email**:`admin@soc.local`
* **Password**:`AdminPass123!`
* **SOC 分析师 L2 账户**:
* **Email**:`analyst@soc.local`
* **Password**:`AnalystPass123!`
标签:版权保护, 自动化攻击, 请求拦截, 逆向工具