Badr-Naji1/Detect-Bruteforce

# Detect-Bruteforce 用于扫描 Windows 安全日志以查找事件 ID 4625（登录失败）的 PowerShell 脚本，并能标记过去一小时内出现 10 次以上登录失败的源 IP——这是凭证填塞或密码喷洒攻击的强烈指标。 ## 🎯 目的 在安全运营中心（SOC）中，攻击的首要迹象之一是登录失败尝试的激增。此脚本通过统计特定时间窗口内每个源 IP 的登录失败次数，自动检测此类模式。 ## 🛠️ 工作原理 1. 查询 **Security** 事件日志中的事件 ID **4625**（帐户登录失败）。 2. 按**源 IP 地址**（事件中的字段 19）对事件进行分组。 3. 标记在过去一小时内出现 **10 次或更多次失败**（可配置）的任何 IP。 ## 🚀 使用方法 ``` # 以 Administrator 身份运行 PowerShell .\Detect-Bruteforce.ps1 Output Example: text [!] POTENTIAL BRUTEFORCE DETECTED! The following IPs have >= 10 failed logons in the last hour: - 192.168.1.105 : 23 failures Target accounts: Administrator, john.doe, backup Recommendation: Investigate these IPs and consider blocking at the firewall. ```

标签：AI合规, Conpot, Event ID 4625, IPv6, IP封禁, Libemu, PowerShell, SOC自动化, Windows安全, 事件日志分析, 免杀技术, 凭据滥用检测, 失败登录监控, 密码喷洒, 撞库检测, 日志分析脚本, 暴力破解检测, 红队行动, 网络安全, 隐私保护