Percepta Reactive SIEM：端到端 SOC 监控与响应系统

Percepta 是一个反应式 SIEM（安全信息与事件管理）系统，采用 Rust 构建的 Agent + Server 架构，通过 mTLS（RSA-2048）加密通信，实现端点遥测收集、实时事件摄取、解析归一化、规则检测关联、告警案例生成和自动化响应的完整 SOC 工作流。

Percepta 是一个作为网络安全毕业设计（FYP）构建的反应式 SIEM（Security Information and Event Management）系统。它的设计目标是演示一个完整的 SOC（Security Operations Center）工作流程：从端点收集遥测数据、摄取和归一化事件、应用规则检测和关联、生成告警和案例，以及支持反应式自动化响应。

在当前的威胁环境中，安全团队需要三个核心能力：可见性（Visibility）、上下文（Context）和行动（Action）。Percepta 旨在同时提供这三种能力。

Percepta 采用经典的 Agent-Server 架构：

• Agent：部署在端点上的轻量级收集器，负责采集系统日志、遥测数据和信号
• Server：后端服务，负责事件摄取、处理、存储和响应编排

这种架构的优势在于：

• 分布式部署，支持大规模端点覆盖
• Agent 与 Server 之间通过 mTLS 加密通信
• 模块化设计，便于独立升级和扩展

系统使用双向 TLS（mutual TLS）和 RSA-2048 证书进行 Agent 与 Server 之间的身份验证和加密：

• 身份注册：Agent 首次连接时进行身份注册
• 证书生命周期：完整的证书签发、轮换和吊销流程
• 双向认证：Agent 验证 Server，Server 也验证 Agent

这种设计确保了即使在内网环境中，通信也是安全的，防止中间人攻击和未授权访问。

Percepta 实现了完整的事件处理流水线：

收集 → 摄取 → 解析/归一化 → 富化 → 检测/关联 → 告警/案例 → 调查 → 响应

各阶段说明：

1. 收集（Collect）：Agent 收集端点遥测（日志、系统信号）并转发事件
2. 摄取（Ingest）：Server 通过认证/授权通道接收事件
3. 归一化（Normalize）：解析和归一化产生一致的事件结构
4. 富化（Enrich）：添加上下文（主机元数据、身份提示等）
5. 检测/关联（Detect/Correlate）：规则/关联引擎生成告警
6. 调查（Investigate）：操作员通过仪表板 API/UI 审查告警/案例
7. 响应（Respond）：可选的 Playbook 对特定检测进行自动化/反应式响应

系统内置规则引擎，支持：

• 基于规则的检测逻辑
• 跨事件关联分析
• 自定义检测规则配置
• 告警优先级和分类

提供操作视图用于调查：

• 告警和案例管理
• 事件时间线可视化
• 主机和资产上下文
• 调查工作流支持

支持通过 Playbook 和响应动作实现自动化：

• 条件触发的自动响应
• 可配置的响应策略
• 与外部系统集成（SOAR）