nysch3n/EDR_Project1

# 🛡️ Python EDR 与 SIEM 仪表板 一个轻量级的实时端点检测与响应 (EDR) 代理，并集成了类似 SIEM 的图形化仪表板。该项目完全使用 Python 构建，演示了核心的 SOC/蓝队概念，包括网络流量分析、事件关联以及自动化的主动响应。 ## 架构概述 本项目模拟了一个企业安全栈，由三个主要层级组成： 1. **传感器 (EDR 代理)：** 使用 `scapy` 静默嗅探网络流量，将数据包关联起来以检测恶意行为（例如，Nmap TCP SYN 隐秘扫描）。 2. **自动化 (SOAR)：** 通过直接将入站阻止规则注入到 Windows Defender 防火墙，自动触发主动响应。 3. **控制台 (SIEM 仪表板)：** 使用 `customtkinter` 构建的现代深色主题 GUI，可实时解析 JSON 日志，使安全分析师能够监控威胁、解除阻止 IP 以及管理受信任的白名单。 ## 核心功能 * **实时威胁检测：** 使用时间窗口分析检测高速端口扫描异常。 * **主动响应：** 通过 Windows 防火墙 (`netsh`) 立即阻止攻击者 IP 地址。 * **硬件时间戳与防卡顿：** 从缓冲区丢弃过期数据包，以防止误报和告警疲劳。 * **进程间通信 (IPC)：** 使用队列文件在代理和 GUI 之间实现无缝状态同步。 * **白名单管理：** 分析师可以定义受信任的 IP，EDR 将仅监控这些 IP 而不会进行阻止（仅记录日志）。 * **自动提权：** 内置 UAC 提示处理器，可使用所需的管理员权限自动启动套件。 ## 技术栈 * **语言：** Python 3.x * **网络分析：** `scapy` * **GUI 框架：** `customtkinter` * **操作系统集成：** `subprocess`、`ctypes`、Windows 防火墙 API ## 安装与设置 **前置条件 (Windows)：** 1. 已安装 Python 3.8+。 2. 已安装 [Npcap](https://npcap.com/)（`scapy` 在 Windows 上嗅探数据包所必需。*请确保在安装过程中勾选“Install Npcap in WinPcap API-compatible Mode”*）。 **安装说明：** ``` git clone https://github.com/nysch3n/EDR_Project1.git cd EDR_Project1 pip install -r requirements.txt ``` ## 使用方法 要启动整个安全套件，只需运行启动器即可。该脚本将自动请求管理员权限（这是数据包嗅探和防火墙管理所必需的）。 ``` python launcher.py ``` * **测试 EDR：** 从网络上的另一台设备（或虚拟机）对你的机器运行 Nmap 扫描（例如，`nmap -sS -p 1-1000 `）。 * **管理威胁：** 使用 SIEM 仪表板查看实时告警、管理白名单，以及一键解除对 IP 的阻止。 ## 免责声明 本工具出于教育目的和家庭实验室环境构建，旨在演示蓝队方法论。在没有经过全面测试的情况下，请勿将其部署在企业生产环境中，因为自动化的防火墙修改可能会导致网络中断。

标签：AMSI绕过, Conpot, customtkinter, EDR, IP封禁, Nmap检测, Python, Scapy, SOAR, UAC, Windows Defender Firewall, Windows安全, 主动响应, 威胁检测, 安全运营, 实战项目, 扫描框架, 插件系统, 无后门, 桌面GUI, 白名单管理, 端口扫描检测, 系统提权, 网络安全, 脆弱性评估, 自动化防御, 逆向工具, 防火墙联动, 隐私保护