alexus-cybersec/soc-log-analysis

# SOC 日志分析 SOC 日志分析演示，包括认证日志分类、暴力破解检测以及使用 Python 进行基础安全自动化。 ## 示例脚本输出 该 Python 脚本分析认证日志并识别可疑的登录活动。  ## 发现 检测逻辑将任何具有五次或更多次失败认证尝试的 IP 地址标记为潜在的暴力破解来源。 两个 IP 地址超过了暴力破解检测阈值。 192.168.1.15 — 6 次失败的登录尝试 45.33.22.1 — 5 次失败的登录尝试 这些模式表明可能存在针对 SSH 认证服务的暴力破解尝试。 ## 建议的缓解措施 • 将 SSH 访问限制在受信任的 IP 范围内 • 为远程访问启用多因素认证 • 配置登录速率限制和账户锁定策略 • 将认证日志转发到 SIEM 进行监控和告警

标签：Python, SSH安全, Triage, 免杀技术, 内存分配, 安全工程, 安全运营, 异常检测, 扫描框架, 无后门, 日志审查, 暴力破解检测, 红队行动, 网络安全, 脚本开发, 自动化运维, 认证日志, 逆向工具, 隐私保护