MiguelFernandesdeLima/Soc-Brute-Force-Detection

# SOC 暴力破解检测 - L1 自动化与分析项目 本项目模拟了 **SOC L1 分析师**的真实工作流程，从在 SSH 日志中检测潜在的暴力破解攻击，到生成结合威胁情报的丰富事件报告。 ## 目标 自动化安全警报的初步分诊，展示初级分析师所需的核心技能：日志分析、关联、数据丰富化和文档编写。 ## 展示技能 - **SIEM 思维**：在原始日志中搜索、过滤和关联事件。 - **正则表达式应用**：从文本日志中提取结构化信息（IP、用户）。 - **行为分析**：识别暴力破解模式（在时间窗口内的多次失败尝试）。 - **威胁情报**：使用 IP 信誉数据丰富警报（模拟）。 - **警报分诊**：严重性分类（严重/高）和升级决策。 - **SOC 文档编写**：自动生成结构化格式的事件报告。 - **Python 自动化**：模块化、注释完善且可用于生产的脚本。 ## 项目结构 ... （与开头展示的一致） ## 如何运行 1. **克隆仓库：** git clone https://github.com/MiguelFernandesdeLima/soc-bruteforce-detection.git cd soc-bruteforce-detection 2. **运行日志生成器（可选，如果没有真实的 `auth.log`）：** cd scripts python3 generate_logs.py *这将创建一个包含模拟数据的 `logs/auth.log` 文件，其中包括攻击模式。* 3. **运行暴力破解检测器：** python3 detect_bruteforce.py *脚本将分析日志，在终端打印警报，并在 `reports/` 目录下生成报告。* ## 脚本功能（SOC 流程） 1. **日志解析：** 读取 `auth.log`，应用正则表达式仅过滤出“Failed password”事件。 2. **关联：** 在可配置的时间窗口（例如：5 分钟）内按 IP 对失败尝试进行分组。 3. **检测：** 如果某个 IP 超过尝试阈值（例如：10 次），则生成警报。 4. **丰富化：** 查询（模拟）威胁情报库以获取 IP 信誉。 5. **分诊：** 根据目标用户（admin/root = 严重）和 TI 评分对严重性进行分类。 6. **报告：** 生成包含摘要、检测、调查和**升级决策**（是保留在 L1 还是升级到 L2）的 Markdown 文档。 **致招聘人员：** 本项目旨在展示对 SOC L1 任务的实际和方法论理解，包括关于事件升级的文档化决策，这是一项日常工作中的关键技能。

标签：Git, L1分析师, PFX证书, PoC, Python, Regex, SSH, Threat Intelligence, VEH, 事件关联, 事件分级, 威胁情报, 字典攻击, 安全分析师, 安全运营中心, 开发者工具, 异常行为分析, 攻击检测, 无后门, 暴力破解, 红队行动, 网络安全, 网络映射, 网络调试, 自动化, 逆向工具, 防御加固, 隐私保护