DFIR-Ninja/DFIR-Automation-Platform

# 🚨 DFIR 自动化平台 一个可扩展的数字取证与事件响应 (DFIR) 平台，旨在自动化调查、加速时间线分析，并支持企业环境中的威胁狩猎。 ## 🔍 概述 该平台基于实际的安全运营中心 (SOC) 和事件响应工作流构建，帮助组织： - 更快速地调查安全事件 - 关联多个来源的日志 - 自动化取证数据收集 - 通过时间线分析重构攻击者活动 ## ⚙️ 核心功能 ### 🧠 事件调查 - 集中化调查仪表板 - 多源日志关联 - 攻击时间线重构 ### 📊 时间线分析 - 取证证据聚合（MFT、事件日志、注册表） - 跨系统事件关联 - 可疑活动检测 ### 🛠 取证数据收集 - 端点证据获取 - 与 Velociraptor 和 KAPE 集成 - 自动化证据摄取 ### 🔎 威胁狩猎 - 基于 IOC 的检测 - 行为分析 - 基于模式的异常检测 ## 🧩 支持的数据源 - Windows 事件日志 - Sysmon 日志 - MFT（文件系统证据） - 注册表证据 - SIEM 日志（Splunk、QRadar、Sentinel） ## 🏗 架构 该平台采用模块化和可扩展的架构： - 用于证据收集的分布式代理 - 中央处理引擎 - 数据标准化和丰富化层 - 时间线和调查引擎 - 基于 Web 的调查界面 详见 `/architecture/architecture.md`。 ## 🖥 截图 截图位于 `/screenshots/`： - 时间线浏览器 - 进程树分析 - 日志关联仪表板 ## 🧪 案例研究 ### 🔐 勒索软件调查 - 识别初始访问向量 - 重构攻击时间线 - 检测到横向移动 ### 📡 可疑日志分析 - 关联认证异常 - 检测到凭证泄露 更多内容见 `/case-studies/`。 ## 🧱 模块 详见 `/modules/module-overview.md`，了解系统组件的详细分类。 ## 🔒 源代码声明 本仓库展示平台功能、架构和 DFIR 工作流。 完整源代码保留为私有，由于安全和商业原因。 ## 💼 服务 - 事件响应 - 数字取证 - 威胁狩猎 - DFIR 自动化开发 - SIEM 和 SOC 优化 ## 📩 联系方式 如需咨询或 DFIR 支持： - https://www.upwork.com/freelancers/~012fc6ea00129cd7f1?mp_source=share - 邮箱：yousufm2324@gmail.com

标签：IOC检测, KAPE, MFT, Microsoft Sentinel, QRadar, Sysmon, Velociraptor, 凭证泄露检测, 取证工具, 安全仪表板, 安全运营, 异常检测, 扫描框架, 攻击链分析, 数字取证, 日志关联, 日志审计, 横向移动检测, 注册表分析, 用户态调试, 端点取证, 自动化脚本, 自动化调查, 证据采集, 逆向工具