Jorgeotero1998/SentinelSoc
GitHub: Jorgeotero1998/SentinelSoc
一款基于 Python 的轻量级 Windows EDR 引擎,提供行为威胁检测、文件完整性监控和结构化取证日志输出。
Stars: 0 | Forks: 0
# SentinelSoc 🛡️
Sentinel 是一个端点检测与响应(EDR)引擎,专注于 Windows 环境中早期的基于行为的威胁检测和实时文件完整性监控,专为 SOC 分析师和 SecOps 团队设计。
## 🚀 架构与技术能力
核心系统结合了底层 Windows API 访问与本地启发式分析,在不影响系统性能的情况下高效处理事件。
* **启发式勒索软件检测:** 一种分析输入/输出(I/O)事件频率的算法。如果在关键时间阈值内检测到大规模修改,它会减轻影响并识别攻击模式。
* **底层内核接口:** 通过 Windows API 调用直接连接以捕获文件系统事件,确保实时遥测。
* **智能路径发现:** 自动检查 Windows 注册表,以动态映射关键操作系统路径并监控敏感用户目录。
* **结构化取证审计:** 生成结构化 JSON 格式的持久化日志,可直接接入 SIEM 解决方案(Splunk、Elastic、Azure Sentinel)。
## 截图
## 📁 项目结构
```
SentinelSoc/
├── src/
│ ├── monitor.py # Core EDR engine and event capture loop
│ ├── notifier.py # Alerting module, telemetry dispatch, and response logic
│ └── utils.py # Windows API abstractions and Registry queries
├── logs/ # Local storage for forensic audit logs (JSON)
├── Iniciar_Sentinel.bat # Automated quick-deployment script
└── requirements.txt # Environment execution dependencies
🛠️ Installation
Clone the repository: `git clone https://github.com/Jorgeotero1998/SentinelSoc`
Installation dependencies: `pip install watchdog pywin32`
Run: `python src/monitor.py`
```
## 📁 项目结构
```
SentinelSoc/
├── src/
│ ├── monitor.py # Core EDR engine and event capture loop
│ ├── notifier.py # Alerting module, telemetry dispatch, and response logic
│ └── utils.py # Windows API abstractions and Registry queries
├── logs/ # Local storage for forensic audit logs (JSON)
├── Iniciar_Sentinel.bat # Automated quick-deployment script
└── requirements.txt # Environment execution dependencies
🛠️ Installation
Clone the repository: `git clone https://github.com/Jorgeotero1998/SentinelSoc`
Installation dependencies: `pip install watchdog pywin32`
Run: `python src/monitor.py`
```
标签:AMSI绕过, EDR, Homebrew安装, x64dbg, 勒索软件检测, 威胁检测, 构建工具, 端点可见性, 终端安全, 脆弱性评估, 逆向工具