aravindgk010/log-triage-summarizer

# Log Triage 总结器 一个基于 Python 的安全自动化工具，用于分析 Sysmon 风格的 JSON 日志，识别可疑活动模式，并生成对分析师友好的分类报告。 ## 项目功能 该工具接受结构化的 JSON 日志文件并： - 检测可疑行为模式 - 构建简单的事件时间线 - 将发现映射到 MITRE ATT&CK 风格的技术 - 导出结构化的 JSON 摘要 - 生成 markdown 分类报告 ## 检测覆盖范围 版本 1 目前可检测： - 编码的 PowerShell 执行 - 可疑的父子进程链 - 计划任务创建 - 服务创建 - 出站网络连接 ## 项目意义 SOC 分析师和事件响应人员通常需要快速审查大量的终端遥测数据，以识别可疑活动。人工审查原始日志既缓慢又容易出错。 该项目提供了一个自动化的初步分类工作流程，能够突出显示值得注意的事件，并将其转换为可读的调查工件。 ## 项目结构 ``` log-triage-summarizer/ ├── .gitignore ├── README.md ├── main.py ├── requirements.txt ├── docs/ ├── examples/ ├── results/ ├── samples/ └── triage_engine/ ├── __init__.py ├── loader.py ├── detector.py ├── timeline.py ├── reporter.py └── mapping.py ``` ## 如何运行 ## 1. 创建并激活虚拟环境 ``` python -m venv .venv .venv\Scripts\Activate.ps1 ``` ## 2. 运行工具 ``` python main.py --input samples/sample_sysmon.json --output results ``` ## 输出文件 该工具生成： * triage_summary.json * triage_report.md ## 示例用例 * 快速分类可疑终端活动 * 审查 Sysmon 进程创建事件 * 初步调查钓鱼驱动的执行链 * 检测持久化相关行为 * 生成分析师可用的报告工件 ## 示例工件 请参阅 examples/ 文件夹以获取示例输出： * sample_triage_summary.json * sample_triage_report.md 限制 * 版本 1 仅支持 JSON 输入 * 样本数据集有意保持较小且受控 * 检测基于规则，且仅限于聚焦的 MVP 范围 * 此版本不包含原始 EVTX 解析 ## 未来改进 * 支持更多事件类型和更广泛的检测覆盖 * 添加重复登录和暴力破解类型的检测 * 改进网络事件分析和目标丰富 * 支持 EVTX 转换数据集或 CSV 输入 * 添加置信度评分和事件标记 ## 作者 构建为网络安全项目组合的一部分，专注于安全自动化、事件响应和威胁狩猎工作流程。

标签：AMSI绕过, BurpSuite集成, Cloudflare, IP 地址批量处理, JSON, MITRE ATT&CK, Python, Sysmon, 事件时间线, 分类报告, 威胁检测, 安全运营, 库, 应急响应, 扫描框架, 无后门, 横向移动, 端点安全, 编码命令执行, 编程规范, 网络调试, 自动化, 补丁管理, 逆向工具