dimitristheodoropoulos/LogIQ-SIEM

GitHub: dimitristheodoropoulos/LogIQ-SIEM

LogIQ 是一款面向中小型 IT 环境的 Python SIEM 工具,提供集中式日志管理、自动化威胁检测和报告生成,帮助安全分析师弥合可见性缺口并支撑 SecOps 日常运营。

Stars: 0 | Forks: 0

LogIQ:支持 SIEM 的安全分析与检测 LogIQ 是一款综合性的安全分析工具,旨在弥补中小型 IT 环境中的可见性缺口。它提供集中式 log 管理、自动化威胁检测和报告生成功能,是开展 SecOps 活动的坚实基础。 网络安全分析师为何选择 LogIQ? LogIQ 反映了 SOC Analyst 日常面临的挑战:从对原始 logs 进行 parsing,到检测 brute-force 攻击,再到确保关键系统的可见性。 与安全运营中心(SOC)运营的契合 LogIQ 旨在支持现代安全运营中心的核心活动,充当 SIEM/XDR 环境的模拟器: 检测能力开发:支持开发和测试检测规则(detection analytics),以识别威胁。 事件响应(IR)工作:该工具的结构和 CLI 允许快速采集数据并进行事件 correlation,从而支持对真实事件的响应(containment、eradication、remediation)。 可见性:为 authentication logs 提供集中式可见性,这是每个现代 SIEM 运营的核心。 主要功能 RESTful API (Flask):通过 JWT Authentication 和 Rate Limiting 进行安全管理。 CLI 工具:从 terminal 生成报告和进行 parsing,以实现快速响应(Incident Response)。 安全检测:针对 brute-force 和异常情况(例如 unusual login hours)提供自动化的 alerts。 模块化设计:清晰的架构,便于扩展和维护。 技术能力 多操作系统环境分析:支持 Linux(auth logs)和 Windows(Event logs)。 脚本与自动化:使用 Python 实现,以支持分析的自动化。 安全设计:使用 JWT、Password Hashing(bcrypt)和 Input Validation(jsonschema)。 安全集成与企业生态系统 LogIQ 并非一个孤立的解决方案,而是一款旨在集成到现代安全生态系统中的工具: 企业集成:该项目支持与 Wazuh 等行业标准工具的连接,允许集中采集数据并优化 log aggregation。 业务连续性:借助内置的 Automated Backup & Restore (MongoDB) 脚本,LogIQ 模拟了维护数据完整性和系统可用性(Business Continuity)的实际需求。 网络弹性:通过其架构,该工具展示了将自定义 Python 自动化与成熟的 SIEM 平台相结合的能力,使分析师能够快速准确地应对复杂的网络安全事件。 安装与运行 免责声明:LogIQ 是一款安全分析工具,专为教育目的和在模拟环境中演示 SecOps 能力而设计。 克隆:git clone [https://github.com/dimitristheodoropoulos/LogIQ-SIEM.git](https://github.com/dimitristheodoropoulos/LogIQ-SIEM.git) 虚拟环境:python3 -m venv venv && source venv/bin/activate 依赖项:pip install -r requirements.txt 环境:创建包含必要变量(FLASK_PORT、JWT_SECRET_KEY)的 .env 文件。 配置:在 config.yaml 中配置 logs 的路径以及数据库连接(MongoDB/SQLite)。 执行:python main.py 测试与质量保证 该项目遵循测试驱动的开发模式: 测试覆盖率:使用 pytest 和 coverage.py。 执行测试:pytest --cov=logiq 贡献 LogIQ 欢迎通过 Pull Requests 进行改进。非常适合通过集成安全信息源(例如 MISP/OTX)进行扩展,并进一步开发其 SIEM 功能,以检测高级持续性威胁(APTs)。 由 Dimitris Theodoropoulos 开发。
标签:AMSI绕过, FOFA, Python, 内存取证对抗, 威胁检测, 安全规则引擎, 安全运营中心(SOC), 无后门, 红队行动, 逆向工具