Adham504/SentinelThread-Forensics

🛡️ Sentinel Thread Pro **高速 Windows 取证分类平台** [](https://www.python.org/downloads/) [](https://streamlit.io/) [](https://github.com/Yamato-Security/hayabusa) ## 📋 任务概述 在现代安全运营中心(SOC)运营中，手动 EVTX 分析对你的平均响应时间(MTTR)来说是致命的。**Sentinel Thread Pro** 旨在弥合海量原始事件日志与可操作取证情报之间的差距。通过协调 **Hayabusa** 引擎(Rust编写)和 Python 数据处理管道，该工具可在几秒钟内将大量充满噪音的事件转换为清晰、优先排序的威胁时间线。 ## 🚀 关键工程特性 * **闪电级分类：** 使用 Hayabusa 核心处理海量 `.evtx` 文件，实现近乎即时的分析。 * **Sigma 驱动检测：** 原生支持 Sigma 规则和 Yamato Security 的检测逻辑，用于追踪攻击者行为。 * **ATT\&CK 映射：** 将检测到的事件自动映射到 **MITRE ATT\&CK®** 战术和技术。 * **智能驱动 UI：** 为分析师构建的反应式 Streamlit 仪表板，支持按严重程度、主机名或特定规则 ID 进行深度筛选。 * **清洁数据规范化：** 自定义规范化层，处理不同取证引擎版本之间的模式差异。 ## 🏗️ 工作原理（架构） 1. **摄取：** 用户通过界面上传工件。 2. **执行：** Python 后端使用严格的 `--no-wizard` 和 `--json-timeline` 标志触发非交互式 Hayabusa 子进程。 3. **优化：** 基于 Pandas 的处理器清理原始 JSON 输出，解决字段命名冲突并计算威胁分数。 4. **可视化：** 状态管理的仪表板将数据渲染为交互式取证时间线。 ## 🛠️ 设置与部署 ### 1. 前置条件 * Python 3.10 或更高版本。 * [Hayabusa 二进制文件](https://github.com/Yamato-Security/hayabusa/releases)。下载后放置在 `bin/` 目录中。 ### 2. 安装 ``` # 克隆仓库 git clone https://github.com/Adham504/SentinelThread-Forensics.git cd SentinelThread-Forensics # 设置环境 python3 -m venv venv source venv/bin/activate # Windows: venv\Scripts\activate # 安装栈 pip install -r requirements.txt ``` ### 3. 运行应用 始终从 `src` 目录运行以确保路径完整性： ``` cd src streamlit run app.py ``` ## 📂 项目结构 ``` SentinelThread/ ├── bin/ # Forensic Binaries (Exempt from Git) ├── logs/ # Where you store the .evtx file to process ├── output/ # Generated JSON/CSV results ├── rules/ # Hayabusa/Sigma detection logic ├── sigma_repo/ # Extended community rules ├── src/ # The Core Logic │ ├── app.py # Main Entry & UI State │ ├── engine_handler.py # Subprocess Orchestrator │ └── data_processor.py # Pandas Normalization Logic └── requirements.txt ```

标签：AMSI绕过, Cloudflare, Conpot, EVTX分析, Hayabusa, Kubernetes, MITRE ATT&CK, Pandas数据处理, Python安全工具, Rust工具, Sigma规则, SOC安全运营, Streamlit, Windows安全, 取证工具, 可视化界面, 威胁情报, 威胁检测, 安全运营平台, 库, 应急响应, 开发者工具, 数字取证, 目标导入, 终端检测与响应EDR, 自动化脚本, 访问控制, 逆向工具