gauravmalhotra3300-hub/threatlens-kali

# ThreatLens-Kali ThreatLens-Kali 是一个为 Kali Linux 构建的模块化威胁检测与事件分诊工具包。 它摄取日志和可疑文本工件，提取妥协指标（IOC），应用基于 YAML 的检测规则，将发现结果映射到 MITRE ATT&CK，评分严重性，并生成分析师友好的 Markdown 和 HTML 报告。    ## 为什么选择这个项目 该项目旨在作为一个蓝队作品集仓库，用于展示： * 检测工程 * 日志分析 * IOC 提取 * MITRE ATT&CK 映射 * 事件分诊 * 安全报告自动化 ## 功能特性 * 解析身份验证、Web 和通用文本日志 * 提取 IP 地址、域名、哈希值、URL 和电子邮件工件 * 运行基于 YAML 的检测规则 * 分配严重性评分（低、中、高、关键） * 将检测结果映射到 MITRE ATT&CK 技术 * 生成 Markdown 和 HTML 调查报告 * 模块化架构，便于扩展 ## 项目结构 ``` ThreatLens-Kali/ ├── threatlens.py # Main entry point ├── requirements.txt # Python dependencies ├── README.md # Project documentation ├── src/ │ ├── parsers.py # Log and text parsers │ ├── ioc_extractor.py # IOC extraction (IPs, domains, hashes, URLs) │ ├── detection_engine.py # YAML rule engine │ ├── mitre_mapper.py # MITRE ATT&CK technique mapping │ └── reporting.py # Markdown and HTML report generation ├── config/ │ └── rules/ │ └── sample_rules.yml # Sample detection rules ├── sample_logs/ │ └── auth.log # Sample authentication log ├── docs/ │ └── case-study.md # Project case study └── reports/ # Generated investigation reports (created on first run) ``` ## 快速开始 ### 前置条件 * Python 3.8 或更高版本 * Kali Linux（推荐）或任何 Linux 发行版 ### 安装 ``` # 克隆仓库 git clone https://github.com/gauravmalhotra3300-hub/threatlens-kali.git cd threatlens-kali # 安装依赖 pip3 install -r requirements.txt ``` ### 用法 ``` # 分析单个日志文件 python3 threatlens.py --input sample_logs/auth.log --output reports/ # 使用详细输出分析 python3 threatlens.py --input sample_logs/auth.log --output reports/ --verbose # 使用自定义规则文件分析 python3 threatlens.py --input sample_logs/auth.log --output reports/ --rules config/rules/sample_rules.yml # 同时生成 HTML 和 Markdown 报告 python3 threatlens.py --input sample_logs/auth.log --output reports/ --html ``` ## 检测规则 检测规则以 YAML 格式定义。示例： ``` rules: - name: "Suspicious PowerShell Encoded Command" match: "powershell -enc" severity: high mitre: T1059.001 description: "Detects encoded PowerShell execution attempts" - name: "Repeated Failed Authentication" match: "failed password" severity: medium mitre: T1110 description: "Detects multiple failed authentication attempts" - name: "Suspicious Curl or Wget Download" match: "curl http" severity: medium mitre: T1105 description: "Detects suspicious file downloads" ``` ## 严重性评分 | 分数 | 级别 | 描述 | |------|------|------| | 1 | 低 | 风险最小的信息性发现 | | 2 | 中等 | 需要调查的可疑活动 | | 3 | 高 | 需要响应的可能恶意活动 | | 4 | 关键 | 已确认的恶意活动，需立即采取行动 | ## MITRE ATT&CK 覆盖范围 | 技术 ID | 技术名称 | 规则示例 | |---------|----------|----------| | T1059.001 | 命令与脚本解释器：PowerShell | 可疑的 PowerShell 编码命令 | | T1110 | 暴力破解 | 重复的认证失败 | | T1105 | 入口工具传输 | 可疑的 Curl/Wget 下载 | | T1078 | 有效账户 | 异常登录时间/位置 | | T1190 | 暴露面应用 exploitation | 可疑的 HTTP 请求 | ## 示例输出 ``` [INFO] ThreatLens-Kali starting analysis... [INFO] Loading input file: sample_logs/auth.log [INFO] Extracting indicators of compromise (IOCs)... [INFO] Extracted 8 IOCs: 3 IPs, 0 domains, 0 URLs, 0 hashes [INFO] Running detection rules... [ALERT] HIGH - Keyword match: failed password [ALERT] MEDIUM - Keyword match: invalid user [ALERT] HIGH - Keyword match: unauthorized [INFO] Mapping detections to MITRE ATT&CK... [INFO] Generating reports... [INFO] Markdown report generated: reports/report_20260421_120000.md ================================================== [INFO] Analysis complete. [INFO] Total IOCs found: 8 [INFO] Total detections: 3 ================================================== ``` ## 路线图 ## 许可证 本项目根据 MIT 许可证授权 - 详情见 LICENSE 文件。 ## 作者 **Gaurav Malhotra** 网络安全专业人士 | 检测工程 | 事件响应 * GitHub: [@gauravmalhotra3300-hub](https://github.com/gauravmalhotra3300-hub) * LinkedIn: [Gaurav Malhotra](https://linkedin.com/in/gauravmalhotra) ## 相关项目 * [Phishing Detector](https://github.com/gauravmalhotra3300-hub/phishing-detector) - 用于 URL 和电子邮件钓鱼分析的自动化 Python 工具 * [SentinelShield](https://github.com/gauravmalhotra3300-hub/SentinelShield) - 高级入侵检测与 Web 防护系统 * [Payload Encoder & Obfuscation Framework](https://github.com/gauravmalhotra3300-hub/payload-encoder-obfuscation-framework) - 用于规避测试的有效载荷编码与混淆技术 基于 Kali Linux 和 Python 构建，专为蓝队安全操作设计。

标签：AMSI绕过, Cloudflare, HTML报告, IOC提取, IP 地址批量处理, IP提取, Markdown, MITRE ATT&CK, Modular, Portfolio, Python, StruQ, URL提取, YAML检测规则, 严重性评分, 事件分类, 反编译, 哈希提取, 域名提取, 多模态安全, 威胁情报, 威胁检测, 安全报告, 安全报告自动化, 开发者工具, 无后门, 日志解析, 检测优先级, 检测规则, 模块化架构, 网络安全审计, 网络资产发现, 自动化报告, 蓝队项目, 证书伪造, 逆向工具, 邮件提取, 防御加固