Praharsh-Projects/ioc-hunting-response-lab

# IOC 狩猎响应实验室 ## 功能说明 该项目模拟初级分析师的狩猎工作流。它摄取 IOC 馈源，扫描归一化遥测数据，跨不同日志类型匹配可疑指标，应用简单的严重性评分，并生成包含遏制建议的报告。 ## 构建目的 我希望建立一个仓库，展示超越静态仪表板或扫描器输出的安全运营推理。重点是 IOC 处理、遥测审查、分析师优先级排序以及清晰的响应指导。 ## 核心功能 - 从 JSON 固件摄取 IOC 馈源 - 关联端点、认证和网络风格日志 - 匹配 IP 地址、域名、用户名和哈希值 - 严重性评分与遏制建议 - 报告生成（Markdown 与 JSON） - 使用确定性示例数据的 CLI 执行 - 单元测试与 GitHub Actions CI ## 架构 ``` flowchart LR A[IOC feeds] --> B[Correlation engine] C[Endpoint/Auth/Network logs] --> B B --> D[Severity scoring] D --> E[Containment recommendations] E --> F[Markdown + JSON reports] ``` ## 仓库结构 ``` ioc-hunting-response-lab/ ├── engine/ │ ├── ingest.py │ ├── match.py │ ├── score.py │ ├── report.py │ └── main.py ├── sample_data/ │ ├── iocs/ │ └── logs/ ├── tests/ ├── docs/hunt-overview.svg ├── Dockerfile ├── requirements.txt └── .github/workflows/ci.yml ``` ## 示例输出  ## 快速开始 ``` python -m venv .venv source .venv/bin/activate pip install -r requirements.txt python -m engine.main --ioc-dir sample_data/iocs --log-dir sample_data/logs --output-dir reports ``` 生成的输出： - `reports/latest_findings.json` - `reports/latest_summary.json` - `reports/latest_report.md` ## Docker ``` docker build -t ioc-hunting-response-lab . docker run --rm ioc-hunting-response-lab ``` ## 当前状态 - 已实现： - IOC 摄取 - 多日志匹配 - 严重性评分 - 遏制建议逻辑 - 报告生成 - 测试与 CI - 待构建： - 更丰富的增强元数据 - 误报抑制 - 交互式分析界面 - 扩展工作： - Sigma 风格规则适配器 - STIX/TAXII 类似的 IOC 馈源导入 - 相关事件的时序视图 ## 面试安全声明 - 构建了一个威胁狩猎实验室，可将 IOC 馈源与模拟端点、认证和网络遥测进行匹配，并为分析师审查优先排序。 - 添加了评分、遏制建议和报告生成功能，以模拟初级 SOC 环境中的检测至响应工作流。 ## 限制 - 使用合成日志和本地固件示例。 - 不声称具备真实的 SIEM 集成或生产环境威胁狩猎覆盖。 - 评分模型有意保持简单且透明。

标签：Docker容器化, IOC分析, IP 地址批量处理, JSON报告, Markdown报告, Python开发, 严重性评分, 关联分析, 单元测试, 含容器指导, 响应引导, 威胁情报, 安全报告, 安全运营, 开发者工具, 扫描框架, 指标回溯, 搜索语句（dork）, 文档结构分析, 无线安全, 日志归一化, 样本数据, 端点安全, 网络安全, 补丁管理, 请求拦截, 逆向工具, 隐私保护