AndreJD123/cyber-operations-lab

GitHub: AndreJD123/cyber-operations-lab

一个由 SOC 分析师构建的网络安全运营实验室,通过从零编写的实践脚本弥合安全理论与实际检测执行之间的差距。

Stars: 1 | Forks: 0

# 网络安全运营实验室 这是一个安全工程实验室,致力于构建**云安全**、**检测工程**和**AI 辅助安全工具**的交叉领域。 由一名 SOC 分析师构建,该分析师拥有网络安全与信息安全硕士学位(NSA CAE),具备 DLP/内部风险领域的专业知识,并长期专注于云安全工程和 AI 安全。 ## 本实验室是什么 通过实践工程练习来弥合安全理论与执行之间的差距。每个脚本都对应一个真实的检测用例、一种 MITRE ATT&CK 技术,以及在生产环境 SIEM 底层运行的逻辑。 这里的工具都是有意从头构建的——没有预置的规则,也没有仪表板的点击操作。 ## 脚本 | 脚本 | 检测内容 | MITRE ATT&CK | 关键技术 | |---|---|---|---| | [ssh_bruteforce_detector.py](python/scripts/ssh_bruteforce_detector.py) | SSH 暴力破解 — 每个IP的重复失败,标记先失败后成功的IP | T1110 — 暴力破解 | `re`, `defaultdict`, 集合交集 | | [windows_event_analyzer.py](python/scripts/windows_event_analyzer.py) | Windows 暴力破解 (4625→4624),可疑进程执行 (4688),横向移动 (4648) | T1110, T1059.001, T1059.003, T1021 | `json`, `pathlib`, `defaultdict`, `re` | | [log_parser.py](python/scripts/log_parser.py) | SSH 登录失败计数器 — 基础日志解析练习 | T1110 — 暴力破解 | `re`, `sys.argv`, 字典推导式 | 有关每个脚本的完整文档,请参阅 [python/scripts/README.md](python/scripts/README.md)。 ## 实验室结构 ``` cyberlab/ ├── python/ │ ├── scripts/ # Finished security tools │ ├── practice/ # Python fundamentals with security context │ └── datasets/ # Sample logs and mock event data for testing ├── notes/ │ ├── scripts-overview.md # One-liner index of every script │ ├── python-cheatsheet.md # Running reference of Python concepts used │ └── progress-log.md # Session-by-session build log └── bash/ # Bash scripts ``` ## 路线图 当前重点: - [x] SSH 日志分析和暴力破解检测 - [x] Windows 安全事件日志分析 (4624, 4625, 4648, 4672, 4688) - [ ] AWS 安全态势检查器 (boto3 + IAM/S3) - [ ] GuardDuty 发现解析器 - [ ] Claude API 安全自动化工具 ## 技术栈 - **Python 3** — 核心脚本语言 - **AWS** (boto3, GuardDuty, IAM, S3) — 云安全工具 - **MITRE ATT&CK** — 所有检测的技术映射 - **WSL2 / Linux** — 开发环境
标签:OpenCanary, PE 加载器, Python, 安全教育, 安全运营, 应用安全, 扫描框架, 无后门, 网络安全, 隐私保护