RuthramoorthiT/soc-analyst-toolkit

# 🛡️ SOC 分析师工具包     ## 📁 项目结构 ``` soc-analyst-toolkit/ ├── scripts/ # Python automation & analysis scripts │ ├── ioc_extractor.py # Extract IOCs from raw text/logs │ ├── log_analyzer.py # Parse and analyze Windows/Linux logs │ ├── threat_enricher.py # Enrich IPs/domains via VirusTotal, AbuseIPDB │ └── alert_triage.py # Automated alert triage and scoring ├── detection-rules/ # Sigma detection rules │ ├── lateral_movement/ │ ├── persistence/ │ ├── privilege_escalation/ │ └── exfiltration/ ├── playbooks/ # Incident response playbooks (Markdown) │ ├── phishing_response.md │ ├── ransomware_response.md │ └── insider_threat.md ├── dashboards/ # Kibana/Grafana dashboard JSON exports │ └── soc_overview.json ├── threat-intel/ # Threat intel utilities │ └── mitre_mapper.py # Map TTPs to MITRE ATT&CK framework ├── tests/ # Unit tests └── docs/ # Extended documentation ``` ## 🚀 功能 | 模块 | 描述 | 技术 | |--------|-------------|------| | **IOC 提取器** | 从原始文本中通过正则表达式提取 IP、哈希、域名、CVE | Python, `re` | | **日志分析器** | 解析 Windows 事件日志和 Syslog，检测异常 | Python, `pandas` | | **威胁情报丰富化** | 通过 VirusTotal、AbuseIPDB、Shodan API 丰富指标 | Python, `requests` | | **告警分类** | 使用基于风险的逻辑对 SIEM 告警进行评分和优先级排序 | Python | | **Sigma 规则** | 20+ 条检测规则，映射到 MITRE ATT&CK TTP | Sigma YAML | | **IR 手册** | 常见事件类型的分步响应程序 | Markdown | | **MITRE 映射器** | 在 ATT&CK 矩阵中可视化攻击者 TTP | Python, `matplotlib` | ## ⚙️ 安装 ``` git clone https://github.com/yourusername/soc-analyst-toolkit.git cd soc-analyst-toolkit pip install -r requirements.txt ``` 设置 API 密钥（可选，用于威胁情报丰富化）： ``` cp .env.example .env # 使用您的 API 密钥编辑 .env: # VIRUSTOTAL_API_KEY=... # ABUSEIPDB_API_KEY=... # SHODAN_API_KEY=... ``` ## 🔍 快速开始 ### 从文件或粘贴内容中提取 IOC ``` python scripts/ioc_extractor.py --input logs/suspicious_email.txt ``` ``` [+] Extraction complete IPs found: 3 → 192.168.1.105, 45.33.32.156, 198.51.100.7 Domains found: 2 → evil-phish[.]ru, malware-cdn[.]xyz MD5 hashes: 1 → d41d8cd98f00b204e9800998ecf8427e CVEs found: 1 → CVE-2023-44487 ``` ### 丰富可疑 IP 的信息 ``` python scripts/threat_enricher.py --ioc 45.33.32.156 --type ip ``` ``` [+] Enrichment results for 45.33.32.156 VirusTotal: Malicious (12/87 engines) AbuseIPDB: Confidence 94% — Category: Port Scan, Brute Force Shodan: Open ports: 22, 80, 443, 3389 | Country: NL Verdict: 🔴 HIGH RISK — Recommend block + escalate ``` ### 运行日志分析 ``` python scripts/log_analyzer.py --source windows --file Security.evtx --detect all ``` ## 📋 检测规则 (Sigma) 所有 Sigma 规则都标记有 MITRE ATT&CK 技术 ID 和严重程度。 | 规则 | 战术 | 技术 | 严重程度 | |------|--------|-----------|----------| | `psexec_lateral_movement.yml` | 横向移动 | T1021.002 | 高 | | `scheduled_task_persistence.yml` | 持久化 | T1053.005 | 中 | | `lsass_dump_detection.yml` | 凭证访问 | T1003.001 | 严重 | | `dns_beaconing.yml` | C2 | T1071.004 | 高 | | `data_staged_for_exfil.yml` | 数据泄露 | T1074.001 | 高 | | `new_local_admin.yml` | 权限提升 | T1078.003 | 中 | 转换为您的 SIEM 查询语言： ``` # 转换为 Splunk SPL sigmac -t splunk detection-rules/lateral_movement/psexec_lateral_movement.yml # 转换为 Elastic/KQL sigmac -t es-qs detection-rules/persistence/scheduled_task_persistence.yml ``` ## 📚 事件响应手册 涵盖遏制、根除和恢复的预建手册： - 🎣 **[钓鱼响应](playbooks/phishing_response.md)** — 邮件分类、头部分析、用户沟通 - 🔒 **[勒索软件响应](playbooks/ransomware_response.md)** — 隔离、备份验证、恢复步骤 - 🕵️ **[内部威胁](playbooks/insider_threat.md)** — 证据保存、法律考虑、升级 ## 🗺️ MITRE ATT&CK 覆盖范围 ``` python threat-intel/mitre_mapper.py --input incidents/q1_2024.json --output heatmap ``` 生成您事件数据中观察到的 TTP 可视化热力图。 ## 🧪 测试 ``` pytest tests/ -v ``` ## 📖 文档 - [API 密钥设置指南](docs/api_setup.md) - [编写自定义 Sigma 规则](docs/sigma_guide.md) - [与 Splunk / Elastic 集成](docs/siem_integration.md) ## 🤝 贡献 欢迎提交 Pull requests。请确保新的检测规则包含： - MITRE ATT&CK 映射 - 严重程度 - 误报说明 - 至少一个测试用例 ## 📄 许可证 MIT 许可证 — 参见 [LICENSE](LICENSE) *由 SOC 分析师为 SOC 分析师构建。如果这帮助您发现了什么，请给仓库加 ⭐。*

标签：BurpSuite集成, CISA项目, Cloudflare, CVE识别, DAST, EDR, Go语言工具, IOC提取, IR手册, MITRE ATT&CK, Python安全工具, Sigma规则, SOC工具, XXE攻击, 域名收集, 威胁情报, 威胁指标, 安全运营中心, 库, 应急响应, 开发者工具, 恶意流量检测, 恶意软件分析, 搜索语句（dork）, 无线安全, 漏洞发现, 目标导入, 网络安全审计, 网络映射, 脆弱性评估, 逆向工具