# openSIEM **Repository Path**: SteveRocket/openSIEM ## Basic Information - **Project Name**: openSIEM - **Description**: 安全运营中心(SOC)-安全事件收集与报警管理系统(SIEM) http://www.mdrsec.com - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g - **GVP Project**: No ## Statistics - **Stars**: 1 - **Forks**: 0 - **Created**: 2021-10-25 - **Last Updated**: 2026-07-03 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README # 安全事件收集与告警管理系统(SIEM) ## 关于我们 - 官网:logo http://www.mdrsec.com 我们的技术文章和产品概述欢迎浏览我们的门户。 - 公众号:CTO Plus 最新的动态欢迎关注我们官方唯一公众号。 微信公众号 - 作者QQ 更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。 我的QQ - QQ群 我们官方组建的QQ群,如果您有兴趣也可以加入我们。 QQ群 - 请喝咖啡 如果感兴趣,也可以请我喝杯咖啡 请我喝咖啡 ## 产品核心功能模块 ![](alerts-rules.jpg) ![](events-list.jpg) ![](siem.jpg) ![](实时分析.jpg) SIEM作为安全运营中心(SOC)的“大脑”,专注于海量日志的集中管理、实时关联分析、合规审计以及告警优先级的排序,它不仅仅是一个日志收纳箱,更是一个具备高级分析能力的威胁检测与合规管理平台。我们的SIEM支持以下功能: ### 全量数据采集与异构日志工程化处理 数据采集与处理,SIEM的根基在于数据。企业级产品必须具备“全场景”的数据接入能力,并解决数据格式千差万别的核心痛点。 - 日志收集与归一化:支持通过Syslog、Agent、API、SNMP等多种协议采集防火墙、服务器、网络设备、应用、数据库、云服务等各类日志,并将异构日志解析为标准字段(归一化),消除数据孤岛。 - **异构数据源接入**:支持从网络边界(防火墙、IDS/IPS)、端点安全(EDR、防病毒)、应用系统(Web服务器、数据库、中间件)、云平台(AWS CloudTrail、Azure Monitor)及身份管理(AD、IAM)等各类基础设施中采集数据。采集协议需覆盖Syslog、SNMP Trap、WMI、RESTful API、Kafka、NetFlow/IPFIX及各类Agent 。 - **数据归一化与富化**:原始日志往往是“方言”,SIEM需通过解析器将其翻译成统一的“普通话”(结构化JSON/KV格式)。**工程化能力**体现在对时间戳的归一、IP地理信息标记、资产信息补全以及用户名映射,将“IP 192.168.1.1 访问失败”转化为“来自研发部张三的办公终端(资产价值高)发生认证失败” 。 - **冷热数据分层存储**:为平衡海量数据下的查询性能与存储成本,产品需支持热数据(近期高频查询)、温数据、冷数据(归档合规)的分层存储策略,并具备透明压缩能力。 - 高性能存储:支持热、温、冷数据分层存储,满足海量日志的长期保存需求,同时保证热数据的查询效率。 ### 高性能关联分析引擎与威胁检测 实时分析与威胁检测,这是SIEM区别于普通日志检索工具的核心智力所在。我们自研内置的**关联引擎**将孤立的事件串联成完整的攻击链。 - **多维度关联规则**: - **基于规则的关联**:支持时序关联(如:5分钟内同一IP触发5次不同漏洞扫描),满足复杂逻辑的嵌套条件判断。 - **基于统计的关联**:利用基线模型识别偏离(如:凌晨3点服务器产生大量DNS请求,偏离日常基线)。 - **跨源事件图谱构建**:将端点告警、网络流量异常、身份认证日志自动关联,还原攻击路径(例如:钓鱼邮件附件激活 -> 恶意进程创建 -> 连接C2服务器 -> 横向移动)。 - **威胁情报集成联动**:对接外部威胁情报源,将内网日志中的IP、域名、文件Hash与情报数据进行碰撞匹配,发现已知的恶意IOC(失陷指标)。支持对接商业或开源威胁情报(STIX/TAXII标准),对日志中的IP、域名、Hash进行实时碰撞。高级特性在于不仅告知“这个IP是恶意的”,还能解释“这是一类针对财务系统的勒索软件C2节点”,提供决策上下文 。 - 实时事件关联:通过预定义或自定义的关联规则,对多个不同来源的事件进行时序关联,识别多阶段攻击(如“登录失败” + “密码重置成功” + “数据导出”)。 - 用户与实体行为分析(UEBA):利用机器学习建立用户和资产的正常行为基线,检测偏离基线的异常行为(如非常规时间登录、大量数据下载),用于发现内部威胁或账户失陷。 ### 告警管理与优先级排序 - 风险评分/告警优先级:基于资产重要性、威胁严重程度、上下文信息等因素对告警进行动态风险评分,帮助分析师优先处理高危告警,减少告警疲劳。 - 告警去重与聚合:对重复的同类告警进行聚合压缩,只展示关键样本和统计数量。 ### 响应编排与自动化(SOAR集成) SIEM若发现威胁却无法快速处置,价值将大打折扣。我们集成了自研的安全编排、自动化与响应(SOAR)能力。内置或集成安全编排自动化与响应(SOAR)能力,在检测到确认事件(如勒索软件)时,触发自动化的响应剧本,实现秒级封禁IP、隔离主机等操作。 - **低代码剧本编排**:提供可视化拖拽界面,预设针对常见场景(如钓鱼邮件、暴力破解、挖矿木马)的处置剧本。剧本覆盖**告警研判**(自动查询情报确认恶意度)、**遏制**(调用防火墙API封禁IP)、**取证**(触发EDP远程获取内存快照)和**工单派发** 。 - **人机协同与战时间**:针对高风险操作(如隔离核心数据库),剧本执行至关键节点自动挂起,需人工电子签批后执行,确保业务连续性。 ### 合规与审计 对于上市企业和国企,满足监管合规(等保、GDPR、SOX、PCI DSS)是SIEM的刚性价值。 - **预置合规包**:内置针对特定法规的检测规则和报表模板。例如针对**等级保护2.0**要求的“入侵防范”、“安全审计”条款自动生成证据,证明企业在过去180天内无高危漏洞未修复 。 - **防篡改与完整性校验**:采集的原始日志需计算哈希并签名存储,确保审计数据不可否认、不可篡改,作为具备**法律效力**的电子证据链。 - **审计追踪**:详细记录哪个管理员在何时查询了哪条日志,防止内部人员违规操作。 - 合规报表:内置针对PCI DSS、HIPAA、ISO 27001、等保2.0等法规的合规性报告模板,自动生成满足审计要求的日志报告。 - 日志完整性保护:确保原始日志数据不可篡改,满足司法取证要求。 ### 智能化分析 传统基于静态规则的SIEM已难以应对APT和0day攻击,我们目前这款SIEM具备AI/ML增强的检测能力。 - **用户与实体行为分析**:基于时间序列算法和机器学习(如孤立森林、自编码器),学习“正常”行为模式。例如:**数据防泄漏场景**(某销售突然下载历年所有合同附件,严重偏离其日均下载量)、**失陷主机检测**(非服务器主机产生SMB扫描流量)。 - **ATT&CK框架映射**:告警不再仅是通用描述,而是映射到MITRE ATT&CK矩阵的技术ID(如T1059.001 命令行)。这有助于安全团队从“战术意图”理解攻击,明确当前处于“初始访问”还是“横向移动”阶段 。 ### 全景态势感知与可视化驾驶舱 面对海量数据,SIEM必须提供直观的交互界面,让不同角色快速获取有效信息。 - **多角色驾驶舱**: - **管理层驾驶舱**:聚焦合规符合度评分、部门风险排行、安全投入产出比。 - **分析师工作台**:提供类搜索引擎的交互式查询(支持Lucene/SQL语法),支持**即席搜索**与**钻取分析**(Drill-down),从宏观告警穿透至原始日志负载 。 - **拓扑可视化**:动态展示攻击流在资产拓扑中的传播路径,清晰标识**受害面**和**爆发源** 。 - **多维态势大屏**:支持自定义热力图、地理地图、趋势折线图,用于7x24小时监控。 - 统一仪表盘:提供SOC仪表盘,实时展示告警趋势、攻击来源地图、资产风险评分等关键指标。 - 历史追溯与取证:支持针对特定时间段的原始日志进行全文检索和回溯分析,用于攻击事件的根源分析和取证。 ### 云原生架构与弹性伸缩 随着业务上云,SIEM自身架构也必须云原生化。 - **存算分离架构**:计算资源(分析、查询)与存储资源(数据湖)解耦,可在攻击高峰期秒级扩容计算节点处理峰值流量,事后缩容节省成本。 - **无服务器化采集**:在公有云环境中,利用云厂商的无服务器函数(Lambda/Function Compute)监听对象存储事件或云API审计日志,仅在被触发时启动采集任务,降低驻留成本。 - **多租户隔离与RBAC**:支持多租户架构,针对大型集团或MSSP(安全托管服务商),支持在单一平台上为不同子公司建立逻辑隔离的租户空间,实现数据自主管控与总部统一监控的平衡。通过基于角色的访问控制(RBAC)严格限制不同用户对数据和功能的访问权限。 - 弹性扩展:支持本地、云原生或混合部署模式,可按需水平扩展计算和存储资源。 ### 从**事后审计**转向**事前预警与事中自动化响应**。 | **功能层级** | **解决的核心痛点** | **产品关键技术指标** | | :--- | :--- | :--- | | **数据与算力底座** | 解决海量日志的接入、存储与治理难题 | EPS(每秒事件处理量)、数据压缩率、Schema-on-read适配性 | | **检测与智能大脑** | 解决隐蔽高级威胁(APT、0day、内鬼)的发现 | 关联准确率、UEBA异常识别前置时间、告警降噪比(99%+) | | **自动化闭环** | 解决安全团队人少事多的响应瓶颈 | 剧本执行成功率、平均响应时间缩短比 | | **可视化与合规** | 解决向业务与监管证明安全价值的问题 | 预置报表覆盖率、资产可视率 | 我们的SIEM不再是孤立的安全工具,而是连接**数据**、**人**、**流程**与**自动化**的安全编排中心。它通过工程化手段将杂乱的数据转化为精准的情报,帮助企业构建一套具备韧性且持续自适应的安全免疫系统。 ## 产品清单 ### 企业网络安全运营中心产品 - 资产安全配置管理系统(SCMDB) - 终端侦测与响应系统(EDR) - 网络侦测与响应系统(NDR) - 企业网络资产攻击面管理系统(CAASM) - 资产暴露面管理系统(AEMS) - 网络安全蜜罐管理系统(HoneyPot) - 安全事件收集与告警管理系统(SIEM) - 扩展侦测与响应系统(XDR) - 多引擎脆弱性扫描系统(VAS) - 多源日志审计监测系统(LAS) - 网络安全威胁情报中心(TIS) - 网络安全漏洞库管理系统(VDBS) - 网络安全编排与自动化响应(SOAR) - 威胁狩猎系统(THS) - 数据库安全审计系统(DSAS) - AI智能体安全态势管理系统(AISPM) - Web防火墙(WAF) - 网站安全监测平台(WSM) - 网络安全态势感知平台(SSAP) - 网络安全自动化应急响应工具系统(NSRT) - 企业网络安全运维工具系统(SecTools) - 网络安全自动化等保测评系统(ASES) - 浏览器安全监测防护系统(BSMPS) - 网络安全用户实体行为分析系统(UEBA) - 互联网电信诈骗预警防护系统(TPFWS) - 云原生安全管理平台(CNAPP) - 自动化渗透测试系统(PTS) - 工业企业信息安全监测中心(IoT SOC) - 企业智能安全运营中心(AISOC) ### 企业自动化运维产品 - 运维智能监控告警管理平台(AIMAMS) - 企业网络工具系统(NTools) - 自动化测试系统(AutoTest) - 自动化运维系统(AutoOps) - 企业运维工具系统(OpsTools) - 物联网管理系统(IoTS) - 软件开发生命周期管理系统(SDLC) - IT流程管理系统(ITSM) ### 企业数字化运营资源管理系统产品 - 制造执行管理系统(MES) - 运输管理系统(TMS) - 跨境电商企业资源管理系统(ERP) - 企业客户关系管理系统(CRM) - 跨境电商仓库管理系统(WMS) - 企业财务管理系统(FMS) - 企业质量管理系统(QMS) - 企业精准营销管理系统(PMS) - 企业智能生产管理系统(SPMS) - 电商BI系统(BI) - 智能互联网分布式爬虫系统(AISpider) ## ABOUT **【关于我们】** * [主页:http://116.205.137.183/index_pro.html](http://116.205.137.183/index_pro.html) * [Articulate v1.0](https://mp.weixin.qq.com/s/0yqGBPbOI6QxHqK17WxU8Q) * [Articulate v2.0](https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g) [![](https://img.shields.io/badge/GitHub-zrf--rocket-blue?logo=gitpod)](https://github.com/zrf-rocket) [![](https://img.shields.io/badge/Gitee-SteveRocket-pink)](https://gitee.com/SteveRocket/) ![CTO Plus](https://img.shields.io/badge/微信公众号:CTO%20Plus-8A2BE2) 🥰 **【代码工程系列】** * [Python和Go的设计模式](https://github.com/zrf-rocket/DesignPattern) * GitHub:https://github.com/zrf-rocket/DesignPattern * Gitee:https://gitee.com/SteveRocket/design_pattern * [Python、Go的编码技巧cookbook](https://github.com/zrf-rocket/CookBook) * GitHub:https://github.com/zrf-rocket/CookBook * Gitee:https://gitee.com/SteveRocket/cook-book * [Go代码示例](https://github.com/zrf-rocket/PracticeGo) * GitHub:https://github.com/zrf-rocket/PracticeGo * Gitee:https://gitee.com/SteveRocket/practice_go * [Python代码示例](https://github.com/zrf-rocket/PracticePython) * GitHub:https://github.com/zrf-rocket/PracticePython * Gitee:https://gitee.com/SteveRocket/practice_python * [Python Web框架的示例代码](https://github.com/zrf-rocket/PythonFramework) * GitHub:https://github.com/zrf-rocket/PythonFramework * Gitee:https://gitee.com/SteveRocket/python_framework * [Rust代码示例](https://github.com/zrf-rocket/PracticeRust) * GitHub:https://github.com/zrf-rocket/PracticeRust * Gitee:https://gitee.com/SteveRocket/practice_rust * [Vue代码示例](https://github.com/zrf-rocket/PracticeVue) * GitHub:https://github.com/zrf-rocket/PracticeVue * Gitee:https://gitee.com/SteveRocket/practice_vue * [前端代码示例](https://github.com/zrf-rocket/PracticeFronted) * GitHub:https://github.com/zrf-rocket/PracticeFronted * Gitee:https://gitee.com/SteveRocket/practice_fronted * [Python自动化测试框架](https://github.com/zrf-rocket/PythonTestAutomationFramework) * GitHub:https://github.com/zrf-rocket/PythonTestAutomationFramework * Gitee:https://gitee.com/SteveRocket/python_test_automation_framework * [Python和Go的算法代码示例](https://github.com/zrf-rocket/Algorithms) * GitHub:https://github.com/zrf-rocket/Algorithms * Gitee:https://gitee.com/SteveRocket/Algorithms * [Python和Go的数据结构代码示例](https://github.com/zrf-rocket/DataStructure) * GitHub:https://github.com/zrf-rocket/DataStructure * Gitee:https://gitee.com/SteveRocket/data_structure * [编码规范](https://github.com/zrf-rocket/DevGuide) * GitHub:https://github.com/zrf-rocket/DevGuide * Gitee:https://gitee.com/SteveRocket/develop_guide * [编码安全规范](https://github.com/zrf-rocket/SecGuide) * GitHub:https://github.com/zrf-rocket/SecGuide * Gitee:https://gitee.com/SteveRocket/security_guide **【产品系列】** * [主机监控系统-日志收集与报警管理系统(SIEM)](https://github.com/zrf-rocket/SIEM) * GitHub:https://github.com/zrf-rocket/SIEM * Gitee:https://gitee.com/SteveRocket/siem * [安全运营中心(SOC)-终端侦测与响应系统(EDR)](https://github.com/zrf-rocket/EDR_SOC) * GitHub:https://github.com/zrf-rocket/EDR_SOC * Gitee:https://gitee.com/SteveRocket/edr_soc * [DevSecOps-SDLC](https://github.com/zrf-rocket/DevSecOps-SDLC) * GitHub:https://github.com/zrf-rocket/DevSecOps-SDLC * Gitee:https://gitee.com/SteveRocket/dev-sec-ops-sdlc * [AI图像识别-智能缺陷检测系统]() * [基于AI图像识别的工业缺陷检测应用系统(GPU&FPGA)](https://mp.weixin.qq.com/s/04qefQFg-Pg1Gcqq1vBLQQ) * [基于AI图像识别的智能缺陷检测系统,在钢铁行业的应用-技术方案](https://mp.weixin.qq.com/s/dSHbnuOwQZzE4CvPr1JYjg) # 安全运营中心(SOC)-安全事件收集与报警管理系统(SIEM)