billsmonster/Enterprise-Log-Hunt-Engine-

# ELHE — Enterprise Log Hunt Engine（单文件威胁狩猎工具） 这是一个**可用于作品集展示**的 Python 威胁狩猎引擎，能够摄取 **Windows EVTX 日志（Security + Sysmon）**，对事件进行标准化、丰富化，并运行映射到 **MITRE ATT&CK** 的**行为检测**。它支持**基线/异常狩猎**、**白名单**、**配置文件**以及 **JSON/JSONL/CSV** 导出 —— 所有功能集成在**一个文件**中。 ## 该工具的功能 ELHE 旨在回答一个实际问题： ### 摄取 * Windows Event Logs (**EVTX**) * `Security.evtx` * `Microsoft-Windows-Sysmon%4Operational.evtx` (Sysmon Operational) ### 标准化 将原始 EVTX XML 记录转换为统一的 `NormEvent` 模型（时间戳、用户、src_ip、进程、cmdline 等），以便规则在不同来源间保持一致性。 ### 丰富化（离线） 在无需网络或 API 的情况下，ELHE 可快速添加上下文： * 私有/公有 IP 分类 * 从命令行提取 URL * base64 块检测（混淆提示） * 可疑 CLI 标志检测（`-enc`, `iex`, `downloadstring` 等） ### 检测（基于规则） **横向移动** * RDP 登录 (4624 LogonType 10) * NTLM 网络登录 (4624 LogonType 3) * 显式凭据使用 (4648) * 远程服务创建 / PsExec 风格 (7045) **权限提升** * 分配特殊权限 (4672) * 被添加到特权组 (4728 / 4732 / 4756) **LOLBin 滥用** * PowerShell / EncodedCommand * rundll32, regsvr32, mshta * certutil “download” 风格用法 * bitsadmin * wmic process call create ### 关联（启发式） 检测可疑的父/子进程链，例如： * `WINWORD.EXE → powershell.exe` * `powershell.exe → rundll32.exe / mshta.exe / regsvr32.exe` ### 基线 / 异常模式 双通道扫描（`--baseline`），重点突出： * 登录期间用户的**新**来源 IP ### 输出 * 控制台摘要（顶级规则、严重性、用户、IP） * 导出发现结果： * `--format json` * `--format jsonl` * `--format csv` ## 安装说明 ### 环境要求 * 推荐使用 Python 3.10+（3.8+ 应该也可以） * 推荐在 Windows 上运行以支持自动发现功能，但您可以在任何地方解析 EVTX。 ### 安装依赖 ``` pip install python-evtx ``` 可选（推荐）： ``` pip install tqdm pyyaml ``` ## 快速入门 ### 1) 零参数运行（Windows 自动发现） ``` python Chap10.py ``` ELHE 将尝试读取： * `C:\Windows\System32\winevt\Logs\Security.evtx` * `C:\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx` ### 2) 针对指定日志运行 ``` python Chap10.py --logs "C:\Windows\System32\winevt\Logs\Security.evtx" ``` ### 3) 基线 + 时间窗口 + 导出 ``` python Chap10.py --baseline --since 2025-12-01T00:00:00Z --until 2025-12-12T23:59:59Z --out findings.json --format json ``` ### 4) 导出 CSV ``` python Chap10.py --logs "C:\Windows\System32\winevt\Logs\Security.evtx" --out findings.csv --format csv ``` ### 5) 列出所有规则 ``` python Chap10.py --list-rules ``` ### 6) 运行内置自检 ``` python Chap10.py --selftest ``` ## 过滤与调优 ### 时间过滤器 * `--since` 和 `--until` 接受 ISO 时间戳： ``` python Chap10.py --since 2025-12-01T00:00:00Z ``` ### 仅启用特定规则 ``` python Chap10.py --enable-rules LM-RDP-4624-LT10 LOL-POWERSHELL-ENC ``` ### 禁用嘈杂规则 ``` python Chap10.py --disable-rules LM-SMB-NTLM-4624-LT3 ``` ## 白名单（减少误报） ### 用户白名单 创建一个类似 `allow-users.txt` 的文件： ``` # service accounts svc_backup svc_patch domain\svc_automation ``` 运行： ``` python Chap10.py --allow-users allow-users.txt ``` ### IP 白名单 创建 `allow-ips.txt`： ``` # jump hosts / 管理服务器 10.0.10.5 10.0.20.6 ``` 运行： ``` python Chap10.py --allow-ips allow-ips.txt ``` ## 配置文件支持（YAML 或 JSON） ### 示例 `elhe.yml` ``` logs: - "C:\\Windows\\System32\\winevt\\Logs\\Security.evtx" baseline: true since: "2025-12-01T00:00:00Z" format: "json" out: "findings.json" disable_rules: - "LM-SMB-NTLM-4624-LT3" ``` 运行： ``` python Chap10.py --config elhe.yml ``` ## 输出格式（发现结果） 每条发现结果包括： * 规则元数据（ID、标题、ATT&CK 技术、严重性） * 置信度（基线提升） * 丰富化字段（URL、base64 标志、可疑标志、私网/公网 IP） * 分类字段（重要性原因、后续步骤、调优建议） * 完整的标准化事件记录 此设计旨在便于： * grep/搜索 * 解析到其他工具中 * 稍后导入 SIEM pipeline ## MITRE ATT&CK 覆盖范围（示例） * T1021.001 — Remote Services: RDP * T1021.002 — SMB/Windows Admin Shares * T1569.002 — System Services (remote service execution) * T1059.001 — PowerShell * T1218.* — Signed Binary Proxy Execution * T1027 — Obfuscation * T1098 — Account manipulation / group changes ## 已知限制（当前版本） * 仅支持 EVTX（Linux auth + 防火墙日志尚未在此文件中实现） * `--mp` 标志已存在但目前已保留（为保证稳定性执行单进程运行） * 排序是基于时间戳字符串的“尽力而为”（可升级为真正的 datetime 排序） ## 路线图构想（极佳的作品集升级方向） 如果您希望 ELHE 看起来更具“企业级”： * CIDR 白名单（`10.0.0.0/8`） * 基线异常检测： * 用户的新主机 * 主机上的新进程 * 规则索引（仅运行与 event_id 相关的规则） * 添加 Sigma 规则支持（基础 YAML Sigma 解析 + 字段映射） * 添加 Linux auth + 防火墙日志摄取（标准化为同一模型） ## 许可证 选择其一： * MIT License（推荐用于作品集） * Apache 2.0 由 Derek 构建（作品集项目）：专注于威胁狩猎的日志引擎，展示了检测工程、Windows 日志知识以及对分析师友好的输出设计。

标签：AMSI绕过, Cloudflare, CSV, EDR 辅助, EVTX 日志分析, Homebrew安装, JSON, LOLBins, MITRE ATT&CK, Modbus, NTLM 中继, PB级数据处理, PE 加载器, PowerShell 安全, Python, RDP 安全, RFI远程文件包含, Sysmon, Web报告查看器, Windows 安全, 协议分析, 命令行检测, 基线分析, 威胁检测, 安全运维, 库, 应急响应, 异常检测, 持久化检测, 无后门, 日志富化, 日志导出, 日志解析, 权限提升, 样本分析, 横向移动, 知识库安全, 离线分析, 端口扫描检测, 红队检测, 编程规范, 网络信息收集, 网络安全, 证书伪造, 逆向工具, 隐私保护