AndreJD123/cyber-operations-lab
GitHub: AndreJD123/cyber-operations-lab
一个由 SOC 分析师构建的网络安全运营实验室,通过从零编写的实践脚本弥合安全理论与实际检测执行之间的差距。
Stars: 1 | Forks: 0
# 网络安全运营实验室
这是一个安全工程实验室,致力于构建**云安全**、**检测工程**和**AI 辅助安全工具**的交叉领域。
由一名 SOC 分析师构建,该分析师拥有网络安全与信息安全硕士学位(NSA CAE),具备 DLP/内部风险领域的专业知识,并长期专注于云安全工程和 AI 安全。
## 本实验室是什么
通过实践工程练习来弥合安全理论与执行之间的差距。每个脚本都对应一个真实的检测用例、一种 MITRE ATT&CK 技术,以及在生产环境 SIEM 底层运行的逻辑。
这里的工具都是有意从头构建的——没有预置的规则,也没有仪表板的点击操作。
## 脚本
| 脚本 | 检测内容 | MITRE ATT&CK | 关键技术 |
|---|---|---|---|
| [ssh_bruteforce_detector.py](python/scripts/ssh_bruteforce_detector.py) | SSH 暴力破解 — 每个IP的重复失败,标记先失败后成功的IP | T1110 — 暴力破解 | `re`, `defaultdict`, 集合交集 |
| [windows_event_analyzer.py](python/scripts/windows_event_analyzer.py) | Windows 暴力破解 (4625→4624),可疑进程执行 (4688),横向移动 (4648) | T1110, T1059.001, T1059.003, T1021 | `json`, `pathlib`, `defaultdict`, `re` |
| [log_parser.py](python/scripts/log_parser.py) | SSH 登录失败计数器 — 基础日志解析练习 | T1110 — 暴力破解 | `re`, `sys.argv`, 字典推导式 |
有关每个脚本的完整文档,请参阅 [python/scripts/README.md](python/scripts/README.md)。
## 实验室结构
```
cyberlab/
├── python/
│ ├── scripts/ # Finished security tools
│ ├── practice/ # Python fundamentals with security context
│ └── datasets/ # Sample logs and mock event data for testing
├── notes/
│ ├── scripts-overview.md # One-liner index of every script
│ ├── python-cheatsheet.md # Running reference of Python concepts used
│ └── progress-log.md # Session-by-session build log
└── bash/ # Bash scripts
```
## 路线图
当前重点:
- [x] SSH 日志分析和暴力破解检测
- [x] Windows 安全事件日志分析 (4624, 4625, 4648, 4672, 4688)
- [ ] AWS 安全态势检查器 (boto3 + IAM/S3)
- [ ] GuardDuty 发现解析器
- [ ] Claude API 安全自动化工具
## 技术栈
- **Python 3** — 核心脚本语言
- **AWS** (boto3, GuardDuty, IAM, S3) — 云安全工具
- **MITRE ATT&CK** — 所有检测的技术映射
- **WSL2 / Linux** — 开发环境
标签:OpenCanary, PE 加载器, Python, 安全教育, 安全运营, 应用安全, 扫描框架, 无后门, 网络安全, 隐私保护