H9070/Soc-investigation-simulation

# 端到端 SOC 调查模拟 ## 📌 概述 本项目模拟了安全运营中心 (SOC) 的工作流程： - 日志采集 - 威胁检测 - 调查与分类 - 威胁情报富化 - 时间线重建 - 报告生成 ## ⚙️ 功能 - 暴力破解攻击检测 - 可疑登录检测（外部 IP） - Root 登录告警 - 威胁情报（模拟） - 攻击时间线生成 - 结构化 SOC 报告输出 ## 🎯 成果 - 从系统日志中检测暴力破解攻击、可疑登录和 Root 访问事件 - 根据严重程度和明确依据对告警进行分类 - 结合基于 IP 的威胁情报（内部、外部、恶意）对告警进行富化 - 重建事件时间线以理解攻击流 - 生成结构化的 SOC 报告以供分析和记录 ## 🚀 未来改进 - 集成真实的威胁情报 API（例如 VirusTotal） - 增加时间戳和实时日志处理 - 实现告警优先级和评分系统 - 扩展针对其他攻击类型的检测规则 ## 🧠 检测逻辑 - 来自同一 IP 的多次登录失败 → 暴力破解 - 外部 IP 登录 → 可疑 - Root 登录 → 高危 ## 🔍 调查 对每条告警进行分析并赋予： - 结论 (Malicious / Suspicious / Unknown) - 严重程度 (High / Medium / Low) - 依据 ## 🌐 威胁情报 模拟的 IP 信誉： - Malicious (恶意) - Internal (内部) - External (外部) ## 🕒 时间线重建 构建事件序列以理解攻击流。 ## ▶️ 如何运行 ``` cd soc_simulation python logs/generator.py python main.py ```

标签：AMSI绕过, EDR, IP信誉, PE 加载器, Python, Root权限监控, 免杀技术, 告警分类, 威胁情报, 威胁检测, 子域名变形, 安全仿真, 安全分析与可视化, 安全报告生成, 安全调查, 安全运营中心, 密码管理, 开发者工具, 异常登录检测, 攻击时间线, 攻击溯源, 无后门, 日志摄取, 暴力破解检测, 红队行动, 网络安全, 网络映射, 脆弱性评估, 逆向工具, 隐私保护