arunsakthi2802-star/SOC-AUTOMATION-DASHBOARD

GitHub: arunsakthi2802-star/SOC-AUTOMATION-DASHBOARD

企业级 SOC 自动化仪表板,集成多源日志采集、威胁检测、告警升级、事件调查与 SOAR 自动响应,帮助安全团队高效监测和处置安全事件。

Stars: 0 | Forks: 0

# SOC 自动化仪表板 这是一个企业级的网络安全自动化与事件响应平台,旨在自动化安全运营中心 (SOC) 任务,集中处理安全日志,关联事件,触发自动告警缓解 (SOAR),并提供实时的可视化威胁分析。 **适用对象**:SOC 分析师、威胁猎手、蓝队成员、安全工程师以及学术网络安全实验室。 **开发者**:Aakash V M ## 🚀 核心模块与功能 ### 1. 用户访问与 RBAC (基于角色的访问控制) * 采用 JWT token 认证,结合健壮的加密哈希算法。 * 预置了代表管理员和 L2 分析师角色的测试用户账户。 * RBAC 守卫机制,将常规分诊与全局集成及系统设置区分开来。 ### 2. 日志收集与解析 * API endpoint `/api/logs/upload`,支持接收来自 Windows Active Directory、Linux、Firewalls、Web 代理 (Nginx/Apache) 以及云源 (AWS CloudTrail) 的标准日志格式。 * 通过异步 WebSockets 将摄取的日志流实时推送到客户端仪表板。 ### 3. 关联与威胁检测 * 规则引擎,检测注入向量 (SQLi, XSS)、本地权限提升漏洞利用、samdumping/Mimikatz 凭据提取以及 PowerShell 脚本滥用。 * 动态滑动窗口检查,关联历史记录条目以检测**暴力破解**和**端口扫描**行为。 * 将安全检测结果映射到标准的 **MITRE ATT&CK Framework**。 ### 4. 告警与事件升级 * 自动生成带有严重性分类(严重、高、中、低)的告警。 * 高严重性和严重告警将立即提升至**事件案例看板**。 * Webhook 触发路由,用于通知相关团队(支持 Slack、Telegram、电子邮件集成)。 ### 5. 案例文件与调查时间线 * 详细的事件文件,包含安全分析师评论、事件状态、指派日志以及目标 Evidence(妥协指标 - IOCs)。 * 垂直时间线按时间顺序记录分析师的所有操作以及自动化的 playbook 触发情况。 ### 6. SOAR 自动化 Playbooks * 可配置的活动 playbooks,用于管理防御性缓解措施。 * 模拟的 playbooks:**自动 IP 防火墙封锁**和**主机隔离**(模拟 EDR 沙箱化)。 * Webhook 更新将直接发送至模拟通道。 ### 7. 交互式威胁情报 * 沙箱查询引擎,用于检索可疑 IP、主机域名或文件哈希的信誉等级。 * 集成了针对 **VirusTotal** 阳性检出率和 **AbuseIPDB** 置信度评级的模拟检查。 ### 8. 系统合规报告与审计 * 导出工具,可将事件和活动关联结果编译成标准的 CSV 流,可直接在 Microsoft Excel 中原生打开。 * 管理员审计日志,记录分析师的每一项关键操作(登录、生成的报告、playbook 切换)。 ## 🛠️ 技术栈 * **前端**:React (Vite)、TypeScript、Tailwind CSS v4、Lucide Icons、Recharts、Axios。 * **后端**:FastAPI (Python)、Motor (Async MongoDB Driver)、Pymongo、PyJWT、Bcrypt、WebSockets。 * **数据库**:MongoDB(生产环境),并自动故障转移到 **SQLite**(开箱即用的本地测试)。 * **部署**:Docker、Docker Compose、多阶段 Nginx 容器。 ## 🚀 本地快速入门指南 ### 前置条件 * Python 3.10+ * Node.js v18+ 和 npm v9+ ### 1. 运行后端服务器 1. 导航至 `backend` 文件夹: cd backend 2. 设置虚拟环境并安装依赖包: python -m venv venv .\venv\Scripts\Activate.ps1 # Windows PowerShell # 或者:source venv/bin/activate # Linux/Mac python -m pip install -r requirements.txt 3. 运行后端服务器: python run.py *API 将在 **http://localhost:8000** 启动。* *自文档化的 Swagger UI 可在 **http://localhost:8000/docs** 访问。* ### 2. 运行日志摄取模拟器 在根工作区目录的单独终端中启动模拟器。它将向 API 注入模拟流量和网络攻击: ``` python simulator.py ``` ### 3. 运行前端仪表板 1. 导航至 `frontend` 目录: cd frontend 2. 安装依赖: npm install --legacy-peer-deps 3. 启动 Vite 本地开发服务器: npm run dev *仪表板将托管在 **http://localhost:5173**。* ## 🐳 Docker Compose 部署 要通过单命令编排部署整个技术栈(MongoDB + FastAPI + React + Nginx proxy): 1. 确保 Docker Desktop 处于活动状态。 2. 在工作区根目录下执行: docker-compose up --build 3. 在 **http://localhost:80** 访问仪表板 Web 应用程序。 ## 🔐 本地测试凭据 首次加载平台时,请点击登录页面上的 **"Seed Database Users"**,或通过 Swagger 向 `/api/auth/seed` 发送 POST 请求。然后您可以使用以下凭据登录: * **管理员账户**: * **Email**:`admin@soc.local` * **Password**:`AdminPass123!` * **SOC 分析师 L2 账户**: * **Email**:`analyst@soc.local` * **Password**:`AnalystPass123!`
标签:版权保护, 自动化攻击, 请求拦截, 逆向工具