Herdomain/log-monitoring-threat-detection

# 🔐 日志监控与威胁检测 人工审查日志无法应对大规模数据。在真实的 SOC 环境中，每天会产生数千次身份验证事件，这使得自动化检测不仅有用，而且非常必要。 本项目构建了一个自动化工作流，用于解析系统日志，识别可疑的登录模式，并在无需人工干预的情况下标记潜在的暴力破解尝试。 ## 构建内容 一个基于 Bash 的日志监控脚本，用于分析失败的身份验证日志，按 IP 地址对活动进行分组，并在监控窗口内当任何单个 IP 的失败登录尝试超过五次时触发警报。通过 cron 自动执行，以模拟持续的 SOC 监控。 **为什么是五次尝试？** 选择此阈值是为了过滤掉正常的用户错误，因为忘记密码的表现形式与暴力破解攻击不同。 将阈值保持在足以捕捉威胁的低水平，同时又要高到足以避免警报疲劳，这是 SOC 调优的一个核心决策。 ## 工作原理 1. **日志解析** — 脚本读取系统身份验证日志并提取失败的登录事件 2. **IP 分组** — 失败的尝试按源 IP 地址进行聚合 3. **阈值检测** — 任何失败尝试超过五次的 IP 都会被标记 4. **自动化调度** — Cron 持续运行脚本以模拟实时监控 5. **Python 验证** — 一个辅助 Python 脚本验证检测准确性并确认无误报 ## 示例输出 **脚本执行**  **自动化调度 (Cron)**  **Python 验证**  ## 如果检测到威胁 1. **验证** — 确认来自同一 IP 的重复失败；排除服务配置错误或用户操作失误 2. **调查** — 审查 IP 信誉、登录时间、频率和目标账户 3. **上报** — 将其归类为潜在的暴力破解尝试；记录并通知相应的团队 4. **遏制** — 建议封锁 IP 并强制执行账户锁定或 MFA 5. **改进** — 根据发现调整阈值并优化检测规则 ## 对齐与控制 | 组件 | 用途 | |---|---| | Bash 脚本 | 日志解析和基于阈值的检测 | | Cron 调度 | 持续自动化监控 | | Python 验证 | 检测准确性验证 | | 警报阈值 (>5) | 平衡敏感度和警报疲劳 | 该工作流模拟了核心 SOC 监控实践，符合 **NIST SP 800-61** 事件检测和响应原则。 ## 后续步骤 - 集成到 SIEM 平台（Splunk, Microsoft Sentinel）以进行集中式日志关联 - 实施基于历史基准活动的动态阈值调整 - 整合 IP 信誉源，为标记的地址提供丰富的威胁上下文

标签：AMSI绕过, CCTV/网络接口发现, Cron作业, Python验证, SOC仿真, 免杀技术, 失败登录监控, 威胁检测, 安全运营, 定时任务, 应用安全, 异常行为检测, 扫描框架, 日志解析, 暴力破解检测, 系统日志分析, 自动化告警, 蓝队演练, 证书伪造, 身份认证安全, 逆向工具, 阈值分析