qoAliop/Threat-Hunting-Tool

# 🛡️ 威胁狩猎工具 – SOC 迷你仪表板 (Python) 一款使用 Python 构建的模块化威胁狩猎与检测工具，旨在模拟真实的 SOC 工作流。 该工具收集系统活动，应用检测规则，对可疑行为进行评分，将结果存储在数据库中，并通过现代化的 PySide6 GUI 仪表板呈现所有内容。 本项目专注于“信号优先于噪音”，仅显示有意义的运行中应用程序和进程，而不是数百个系统工件（artifacts）。 # 🚀 功能 ## 🔍 威胁狩猎 ---收集运行中的应用程序和进程 ---过滤低价值的系统噪音 ---专注于与用户相关及可疑的活动 ## 🧠 情报与检测 ---基于规则的检测引擎 ---可疑行为评分 ---模块化情报规则（易于扩展） ## 📊 SOC 风格仪表板 (PySide6) ---深色主题 GUI 显示： ---进程 / 应用程序名称 ---用户 ---可执行文件路径 ---网络活动 ---风险评分及原因 ---在独立窗口中运行（非终端） ---🗄️ 持久化存储 ---使用 SQLite 数据库（非 JSON） ---存储分析结果以供日后分析 ---采集与存储清晰分离 ## 🚨 报告与告警 ---告警框架（支持邮件 / Discord 接入） ---用于未来 SOC 报告的报告生成模块 ## 🧩 清晰的架构 Threat Hunting Tool/ collectors/ # 数据采集（进程、网络） intelligence/ # 规则、评分逻辑 reporting/ # 告警与报告 storage/ # 数据库 + 加载器 utils/ # 辅助工具与验证 gui_dashboard_pyside.py hunter.py run.py requirements.txt .gitignore ## 🧠 工作原理 采集器 --> 收集实时系统数据（进程、网络连接）--> 情报引擎 --> 应用检测规则 --> 分配风险评分 --> 解释判定为可疑的原因 --> 存储层 --> 将分析结果保存至 SQLite 数据库 --> GUI 仪表板 --> 从数据库加载数据 --> 在 SOC 风格的界面中展示结果。 ## 🖥️ 运行工具 # 1 安装依赖 pip install -r requirements.txt # 2 运行应用程序 python run.py 仪表板将在独立的 GUI 窗口中打开。 ## 📦 环境要求 Python 3.10+ Windows（进程采集主要针对 Windows 系统） 库： psutil PySide6 sqlite3（内置） rich（可选，用于调试） ## 🎯 项目目标 模拟真实的 SOC 威胁狩猎工作流 减少误报和系统噪音 实践蓝队检测逻辑 构建可用于作品集的网络安全工具 学习清晰的架构与模块化设计 ## 🧪 当前局限性 特意移除了 CPU 使用率（由于 Windows 报告存在不一致性） 检测规则较为基础（设计使然 ——易于扩展） 无意替代企业级 EDR 工具 ## 图片

标签：Mr. Robot, PySide6, Python, SOC运营, 无后门, 桌面端, 逆向工具