EFF-Monitoring Efficient Monitoring高效监控是一款面向攻防演练、日常 SOC 值守的安全运营协作平台围绕告警生命周期提供统一接入、标准化解析、资产关联、协同研判、处置流转、AI 辅助和报告输出能力帮助安全人员在攻防演练和日常安全运营中快速看懂告警、打通上下游。项目地址https://github.com/Fausto-404/EFF-Monitoring详细功能操作与最佳实践请查看操作手册.md引言使用这个平台前可以先想想您的场景是否有以下痛点:时间断节写报告难发现和封禁没有精确时间记录写复盘报告时全凭记忆倒推费时费力。疯狂切窗口研判效率低查情报、对资产、找负责人要在好几个 Excel 、平台之间来回切换。纯手工 CV机械重复确认一条高危要重复复制粘贴到 Word 模板、防守台账 Excel 和微信工作群。汇报全靠人肉凑日报、周报、成效报告数据无法一键生成每到交报告节点只能加班人工统计。用 AI 像当保姆不仅要现写提示词还要手动粘贴大量信息喂给 AI没有适配安全保障/安全运营场景用起来比自己看还累。封禁两头受气查名单费劲怕误封业务背锅怕漏封挨批但每次去翻死板的黑白名单列表又极繁琐。设备各自为战协同成孤岛现场各类安全设备各管一摊其内置的协助机制根本无法跨厂商互通导致告警散落四处缺少一个能统一处理、集中协作的“总指挥部”。平台价值统一解析将不同设备、不同格式的原始日志转换为标准研判字段。资产关联统一化管理并关联资产、威胁情报、黑白名单、告警信息等内容。协作闭环内置监测组、研判组、处置组协作流程支持认领、释放、强制解锁、状态流转和消息提醒。AI 增强内置具备所有查询能力的Agent助力问题答疑、研判、模板生成、经验提取。可追踪每条告警都有独立alert_hash用于生命周期跟踪、搜索、审计和复盘。可复盘闭环告警可沉淀为 STE 经验后续 AI 研判可检索并复用相似经验。可输出支持报告生成、消息模板、Excel 模板、CSV 模板、Webhook 和告警导出。适用场景对应场景攻防演练期间快速同步、研判和分发安全事件。SOC 值守人员统一处理来自态势感知、WAF、NDR、IPS 等设备的告警。需要把告警与资产、负责人、区域、重要性和处置结果打通的企业安全团队。需要积累可复用研判经验并让 AI 持续吸收闭环结果的团队。需要把安全告警规范化输出到群机器人、报表、CSV 或 Excel 的运营场景。对应效果将单个告警的研判流程如填写模板、查询威胁情报、查询黑白名单、查找对应资产、发送给AI分析、工单流转的耗时从平均35分钟压缩至了秒级将重保日报、周报的数据统计流程缩短至秒级自动生成初稿台账大幅度降低拼凑、去重、统计数据的负担。将复盘报告时间线梳理流程简化为系统内置的时间轴审计数据留痕完整省去了人工倒推、核对各个节点时间戳的对账时间。将高危 IP 处置与名单管控流程的执行时间压缩至秒级通过前置校验防止了由于漏看白名单导致的误封、重复上报同一封禁IP的问题。将跨组协同与状态流转流程的确认时间缩短至 12 分钟内通过系统的认领和锁定机制避免了责任划分不清、沟通时间消耗过高的问题。将打通误报审计与知识闭环流程发现误报后可以反向同步原因告警闭环后可以进行AI经验提取提高人工/AI后续对同类特征的研判准确度。核心亮点日志到告警的完整数据链路告警闭环与分组协作机制AI Agent P-E-R 执行链路项目目录EFF-Monitoring-2.0/ ├── backend/ # 后端服务代码 │ ├── app/api # REST API 路由 │ ├── app/core # 配置与安全 │ ├── app/models # ORM 模型、数据库和启动逻辑 │ ├── app/schemas # Pydantic 请求/响应 schema │ ├── app/services # 业务逻辑服务 │ └── app/workers # Worker 入口 ├── core/ # 日志解析、IP 名单、威胁情报核心能力 ├── frontend/ # React Web 客户端 ├── integration/ # Webhook 集成逻辑 ├── output/ # 消息与 Excel 格式化工具 ├── docker/ # nginx 等容器配置 ├── Dockerfile.backend # 后端镜像构建 ├── Dockerfile.frontend # 前端镜像构建 ├── docker-compose.yml # 一键部署容器编排 └── 操作手册.md # 功能操作与最佳实践快速启动Docker 一键部署cp.env.example .envdockercompose up-d--build默认访问地址前端页面http://localhost:8080FastAPI 文档http://localhost:8000/docs后端 APIhttp://localhost:8000健康检查http://localhost:8000/healthz默认管理员账号admin / admin123生产环境务必修改.env中的JWT_SECRET、INITIAL_ADMIN_PASSWORD、DATABASE_URL、REDIS_URL和 Webhook/AI/威胁情报密钥。本地开发后端cdbackend pipinstall-rrequirements.txtPYTHONPATHbackend:. uvicorn app.main:app--host127.0.0.1--port8000--reload前端cdfrontendnpminstallnpmrun dev默认前端开发地址通常为http://localhost:5173功能模块概览模块主要能力运营总览告警总量、状态趋势、平均处置耗时、最近告警和运营统计日志解析原始日志解析、资产命中、IP 名单检测、模板输出、保存告警告警工作台Hash 搜索、认领机制、状态流转、AI 研判、威胁情报、闭环反馈、CSV 导出AI 中心提示词管理、AI 对话、Agent 工具查询、STE 经验库、AI 经验提取、AI 生成消息模板资产中心个体资产、网段资产、Excel 导入导出、资产指纹、负责人和区域维护消息中心工作流消息、未读提醒、按告警 Hash 快捷跳转规则中心元规则、自定义规则、正则测试、设备规则适配、规则生成模板中心消息模板、Excel 模板、CSV 模板IP 名单白名单、黑名单、CIDR/IP 范围检测、名单导出能力配置AI、威胁情报、Webhook 的全员配置与个人配置系统管理用户、项目、设备、审计日志、后台任务、历史导入界面预览运营总览日志解析告警工作台AI 中心资产中心消息中心规则中心模板中心IP 名单能力配置系统管理角色与协作平台内置五类角色admin管理员拥有系统管理、强制解锁、重新指派、删除、全员配置等权限。monitor监测组负责同步告警。analyst研判组负责研判中告警的认领、误报/忽略闭环或转处置。disposer处置组负责处置中告警的认领、退回研判、纠正误报、忽略或已处置闭环。viewer只读人员只读查看平台数据不能执行写操作。详细权限矩阵见操作手册.md#权限矩阵技术架构后端FastAPI SQLAlchemy Pydantic前端React TypeScript Ant Design Vite数据库Docker Compose 默认 PostgreSQL本地开发可使用 SQLiteExcelopenpyxlAIOpenAI-Compatible、OpenAI、DeepSeek、通义千问、智谱 AI、硅基流动、OllamaAgentLangGraph集成威胁情报、Webhook、CSV / Excel 导出内置演示数据初始化后会保留一组演示数据便于快速验证功能演示用户demo_analyst / demo123456、demo_viewer / demo123456演示项目攻防演练、日常运营演示设备WAF、NDR、态势感知演示资产门户、交易 API、数据库、办公终端、WebLogic 业务服务器、网段资产演示规则通用规则、WAF/NDR 规则、态势感知日志解析规则演示模板态势感知研判通报、Excel 行、CSV 资产导出演示告警可验证资产命中、AI 研判、Hash 搜索、重复限制、运营总览和导出功能演示日志中的公网 IP 使用文档保留地址段不包含真实客户 IP。
【EFF-Monitoring 2.0发布】安全运营协作平台赋能HW保障
发布时间:2026/5/27 21:38:09
EFF-Monitoring Efficient Monitoring高效监控是一款面向攻防演练、日常 SOC 值守的安全运营协作平台围绕告警生命周期提供统一接入、标准化解析、资产关联、协同研判、处置流转、AI 辅助和报告输出能力帮助安全人员在攻防演练和日常安全运营中快速看懂告警、打通上下游。项目地址https://github.com/Fausto-404/EFF-Monitoring详细功能操作与最佳实践请查看操作手册.md引言使用这个平台前可以先想想您的场景是否有以下痛点:时间断节写报告难发现和封禁没有精确时间记录写复盘报告时全凭记忆倒推费时费力。疯狂切窗口研判效率低查情报、对资产、找负责人要在好几个 Excel 、平台之间来回切换。纯手工 CV机械重复确认一条高危要重复复制粘贴到 Word 模板、防守台账 Excel 和微信工作群。汇报全靠人肉凑日报、周报、成效报告数据无法一键生成每到交报告节点只能加班人工统计。用 AI 像当保姆不仅要现写提示词还要手动粘贴大量信息喂给 AI没有适配安全保障/安全运营场景用起来比自己看还累。封禁两头受气查名单费劲怕误封业务背锅怕漏封挨批但每次去翻死板的黑白名单列表又极繁琐。设备各自为战协同成孤岛现场各类安全设备各管一摊其内置的协助机制根本无法跨厂商互通导致告警散落四处缺少一个能统一处理、集中协作的“总指挥部”。平台价值统一解析将不同设备、不同格式的原始日志转换为标准研判字段。资产关联统一化管理并关联资产、威胁情报、黑白名单、告警信息等内容。协作闭环内置监测组、研判组、处置组协作流程支持认领、释放、强制解锁、状态流转和消息提醒。AI 增强内置具备所有查询能力的Agent助力问题答疑、研判、模板生成、经验提取。可追踪每条告警都有独立alert_hash用于生命周期跟踪、搜索、审计和复盘。可复盘闭环告警可沉淀为 STE 经验后续 AI 研判可检索并复用相似经验。可输出支持报告生成、消息模板、Excel 模板、CSV 模板、Webhook 和告警导出。适用场景对应场景攻防演练期间快速同步、研判和分发安全事件。SOC 值守人员统一处理来自态势感知、WAF、NDR、IPS 等设备的告警。需要把告警与资产、负责人、区域、重要性和处置结果打通的企业安全团队。需要积累可复用研判经验并让 AI 持续吸收闭环结果的团队。需要把安全告警规范化输出到群机器人、报表、CSV 或 Excel 的运营场景。对应效果将单个告警的研判流程如填写模板、查询威胁情报、查询黑白名单、查找对应资产、发送给AI分析、工单流转的耗时从平均35分钟压缩至了秒级将重保日报、周报的数据统计流程缩短至秒级自动生成初稿台账大幅度降低拼凑、去重、统计数据的负担。将复盘报告时间线梳理流程简化为系统内置的时间轴审计数据留痕完整省去了人工倒推、核对各个节点时间戳的对账时间。将高危 IP 处置与名单管控流程的执行时间压缩至秒级通过前置校验防止了由于漏看白名单导致的误封、重复上报同一封禁IP的问题。将跨组协同与状态流转流程的确认时间缩短至 12 分钟内通过系统的认领和锁定机制避免了责任划分不清、沟通时间消耗过高的问题。将打通误报审计与知识闭环流程发现误报后可以反向同步原因告警闭环后可以进行AI经验提取提高人工/AI后续对同类特征的研判准确度。核心亮点日志到告警的完整数据链路告警闭环与分组协作机制AI Agent P-E-R 执行链路项目目录EFF-Monitoring-2.0/ ├── backend/ # 后端服务代码 │ ├── app/api # REST API 路由 │ ├── app/core # 配置与安全 │ ├── app/models # ORM 模型、数据库和启动逻辑 │ ├── app/schemas # Pydantic 请求/响应 schema │ ├── app/services # 业务逻辑服务 │ └── app/workers # Worker 入口 ├── core/ # 日志解析、IP 名单、威胁情报核心能力 ├── frontend/ # React Web 客户端 ├── integration/ # Webhook 集成逻辑 ├── output/ # 消息与 Excel 格式化工具 ├── docker/ # nginx 等容器配置 ├── Dockerfile.backend # 后端镜像构建 ├── Dockerfile.frontend # 前端镜像构建 ├── docker-compose.yml # 一键部署容器编排 └── 操作手册.md # 功能操作与最佳实践快速启动Docker 一键部署cp.env.example .envdockercompose up-d--build默认访问地址前端页面http://localhost:8080FastAPI 文档http://localhost:8000/docs后端 APIhttp://localhost:8000健康检查http://localhost:8000/healthz默认管理员账号admin / admin123生产环境务必修改.env中的JWT_SECRET、INITIAL_ADMIN_PASSWORD、DATABASE_URL、REDIS_URL和 Webhook/AI/威胁情报密钥。本地开发后端cdbackend pipinstall-rrequirements.txtPYTHONPATHbackend:. uvicorn app.main:app--host127.0.0.1--port8000--reload前端cdfrontendnpminstallnpmrun dev默认前端开发地址通常为http://localhost:5173功能模块概览模块主要能力运营总览告警总量、状态趋势、平均处置耗时、最近告警和运营统计日志解析原始日志解析、资产命中、IP 名单检测、模板输出、保存告警告警工作台Hash 搜索、认领机制、状态流转、AI 研判、威胁情报、闭环反馈、CSV 导出AI 中心提示词管理、AI 对话、Agent 工具查询、STE 经验库、AI 经验提取、AI 生成消息模板资产中心个体资产、网段资产、Excel 导入导出、资产指纹、负责人和区域维护消息中心工作流消息、未读提醒、按告警 Hash 快捷跳转规则中心元规则、自定义规则、正则测试、设备规则适配、规则生成模板中心消息模板、Excel 模板、CSV 模板IP 名单白名单、黑名单、CIDR/IP 范围检测、名单导出能力配置AI、威胁情报、Webhook 的全员配置与个人配置系统管理用户、项目、设备、审计日志、后台任务、历史导入界面预览运营总览日志解析告警工作台AI 中心资产中心消息中心规则中心模板中心IP 名单能力配置系统管理角色与协作平台内置五类角色admin管理员拥有系统管理、强制解锁、重新指派、删除、全员配置等权限。monitor监测组负责同步告警。analyst研判组负责研判中告警的认领、误报/忽略闭环或转处置。disposer处置组负责处置中告警的认领、退回研判、纠正误报、忽略或已处置闭环。viewer只读人员只读查看平台数据不能执行写操作。详细权限矩阵见操作手册.md#权限矩阵技术架构后端FastAPI SQLAlchemy Pydantic前端React TypeScript Ant Design Vite数据库Docker Compose 默认 PostgreSQL本地开发可使用 SQLiteExcelopenpyxlAIOpenAI-Compatible、OpenAI、DeepSeek、通义千问、智谱 AI、硅基流动、OllamaAgentLangGraph集成威胁情报、Webhook、CSV / Excel 导出内置演示数据初始化后会保留一组演示数据便于快速验证功能演示用户demo_analyst / demo123456、demo_viewer / demo123456演示项目攻防演练、日常运营演示设备WAF、NDR、态势感知演示资产门户、交易 API、数据库、办公终端、WebLogic 业务服务器、网段资产演示规则通用规则、WAF/NDR 规则、态势感知日志解析规则演示模板态势感知研判通报、Excel 行、CSV 资产导出演示告警可验证资产命中、AI 研判、Hash 搜索、重复限制、运营总览和导出功能演示日志中的公网 IP 使用文档保留地址段不包含真实客户 IP。
@Aspect)
:测试如何提前在代码提交阶段发现 Bug?)
)
