PaMuGr/VigilanteCore-SIEM

# 🛡️ VigilanteCore: Sentinel & SOAR 迷你 SIEM **VigilanteCore** 是一个具备自动化响应能力 (SOAR) 和威胁情报的实时日志监控系统 (Sentinel)。本项目是作为一个为期 3 天的强化项目开发的，旨在深入理解防御性网络安全的基础知识。 ## 主要特性 * **Sentinel 监控（实时）：** 通过 live tailing 进行主动日志监听。 * **混合检测：** 跨不同服务（SSH 和 Web）关联事件，以识别持久攻击者。 * **灵活的规则引擎：** 基于 JSON 的系统，无需修改源代码即可添加新的检测规则。 * **SOAR 扩充：** 使用 AbuseIPDB API 自动查询 IP 信誉。 * **ChatOps 通知：** 通过 webhooks 将关键警报直接发送至 Discord 频道。 * **IPS（入侵防御）模块：** 自动防火墙拦截能力（Linux 使用 iptables / macOS 使用 Logic）。 ## 技术栈 * **语言：** Python 3.x * **库：** `requests`、`python-dotenv`、`re` (Regex)。 * **集成：** AbuseIPDB API、Discord Webhooks。 ## 项目结构 * `main.py`：系统核心（Sentinel Loop）。 * `core/`：逻辑模块（Parser、Engine、Intel、Notifier、Blocker）。 * `rules/`：JSON 格式的攻击定义。 * `logs/`：用于监控的日志文件。 * `alerts/`：JSON 格式的取证报告仓库。 ## 我在本项目中学到了什么 这个项目是我为掌握防御性安全支柱而进行的一项个人挑战： 1. **数据规范化：** 如何使用高级 Regex 将普通、杂乱的文本转换为有用的结构化数据。 2. **事件关联：** 理解到攻击并不总是发生在单一服务上；将各个线索串联起来的重要性。 3. **响应自动化：** 通过外部集成减少响应时间 (MTTR)。 4. **模块化架构：** 设计易于扩展的软件（例如，添加新的 blocker 或新的通知渠道）。 5. **开发安全：** 管理虚拟环境并保护敏感凭证。

标签：AbuseIPDB, API集成, ChatOps, CISA项目, Discord机器人, IPS, iptables, JSON, MTTR, PE 加载器, Python, Regex, SOAR, SSH安全, Webhook, Web安全, 事件关联, 入侵防御, 力导向图, 可观测性, 威胁情报, 威胁检测与响应, 开发者工具, 数据规范化, 无后门, 模块化架构, 网络安全, 自动化防御, 蓝队分析, 逆向工具, 防御性安全, 防火墙, 隐私保护