darshan1999/Python-defensive-security-toolkit

# 🛡️ 防御性安全作品集 **完整的端到端安全自动化与威胁检测框架** 本仓库包含一个综合性的防御性安全作品集，结合了 114 个生产就绪的工具与 6 个 SIEM 实现模块。专为安全专业人员、SOC 分析师以及在企业环境中从事防御工作的人员设计。 ## 📋 作品集结构 ``` python_defensive_security_portfolio/ ├── tools/ # 114 production-ready security tools │ ├── 001-050/ # Asset Discovery & Network Scanning │ ├── 051-093/ # Malware Analysis & IOC Detection │ ├── 094-105/ # Behavioral Detection & Forensics │ └── 106-114/ # Reporting & Integration │ ├── python/ # 6 SIEM Implementation Modules │ ├── 01_security-automation/ # Asset discovery & reconnaissance │ ├── 02_soc-analysis/ # Log analysis & detection │ ├── 03_threat-intelligence/ # TI integration & enrichment │ ├── 04_malware-analysis/ # File analysis & IOCs │ ├── 05_detection-engineering/ # SIEM orchestration & response │ └── 06_advanced-analysis/ # Forensics & memory analysis │ └── README.md, .gitignore # This file and Python excludes ``` ## 🚀 快速开始 ### 安装与测试 ``` # 导航到 tools 目录 cd tools # 测试 tool python3 023_blocklist_checker/blocklist_checker.py --help # 使用 sample data 运行 python3 023_blocklist_checker/blocklist_checker.py --create-sample python3 023_blocklist_checker/blocklist_checker.py 8.8.8.8 --blocklist blocklist.txt # 测试 behavioral detection python3 096_process_monitor/process_monitor.py python3 098_network_monitor/network_monitor.py # 测试 report generation python3 104_json_behavior_report_generator/json_behavior_report_generator.py --help ``` ### 安装 Python 模块 ``` # 安装 core SIEM modules cd python pip install -r 01_security-automation/requirements.txt pip install -r 02_soc-analysis/requirements.txt pip install -r 03_threat-intelligence/requirements.txt pip install -r 04_malware-analysis/requirements.txt pip install -r 05_detection-engineering/requirements.txt ``` ## 🎯 114 个安全工具概述 ### **第一层：资产发现与扫描（工具 001-050）** 网络侦察、端口扫描、服务发现、资产清单 **核心工具：** - 001-018：端口扫描、服务检测、资产映射、威胁扫描 - 019-030：IP 地理定位、IOC 丰富、阻止列表检查、告警优先级排序 - 031-050：文件完整性监控、勒索软件检测、日志分析基础 **使用场景：** 持续的资产发现为漏洞管理和 SIEM 资产清单提供数据源 ### **第二层：恶意软件分析与 IOC 检测（工具 051-093）** 文件分析、字符串提取、哈希计算、IOC 检测 **核心工具：** - 062-077：哈希计算、文件熵、字符串分析、YARA 规则生成 - 078-093：多格式 IOC 导出（STIX, OpenIOC, MISP）、电子邮件/注册表提取 **使用场景：** 自动化的恶意软件分类与指标提取，用于威胁狩猎 ### **第三层：行为检测与取证（工具 094-105）** 运行时监控、持久化检测、基线比对 **核心工具：** - 094-100：进程/注册表/网络/文件系统监控、DLL 劫持检测 - 101-105：服务检测、计划任务检测、自动启动扩展检测 **使用场景：** 部署在终端上的 EDR 风格行为分析 ### **第四层：报告与集成（工具 106-114）** 仪表盘、计划任务执行、配置管理 **核心工具：** - 106-112：多格式报告生成、任务调度、异常处理 - 113-114：服务封装、配置管理 **使用场景：** 连接所有安全运营的编排层 ## 📊 代码质量与标准 所有 114 个工具均满足严格的生产标准： ✅ **真实功能逻辑** - 无模拟或虚假数据（样本生成除外） ✅ **仅标准库** - 仅使用 Python 标准库（无外部依赖） ✅ **完善的错误处理** - 特定异常（FileNotFoundError, ValueError），从不使用裸 except ✅ **专业 CLI** - 每个工具均配备具有描述性 --help 的 argparse ✅ **分析师就绪的输出** - 针对 SOC 使用优化的表格、JSON、CSV 和格式化文本 ✅ **跨平台** - 在非 Windows 系统上优雅降级 ✅ **注重安全** - 无硬编码凭据、安全的文件操作、严格的输入验证 ## 🔄 集成架构 ``` ┌─────────────────────────────────────────────────────┐ │ Your Organization's Complete Defense Layer │ ├─────────────────────────────────────────────────────┤ │ │ │ Layer 5: SOAR & Orchestration │ │ └─ Tools 106-114: Scheduling, reporting, SIEM │ │ ↑ │ │ Layer 4: Investigation & Analysis │ │ ├─ Tools 051-093: Malware analysis, IOC extraction│ │ └─ Tools 094-105: Behavioral monitoring │ │ ↑ │ │ Layer 3: Intelligence & Correlation │ │ └─ Tools 019-050: Threat intel, blocklists │ │ ↑ │ │ Layer 2: Detection & Response │ │ └─ Tools 008-018: Threat scanning, honeypots │ │ ↑ │ │ Layer 1: Collection & Discovery │ │ └─ Tools 001-007: Reconnaissance, scanning │ │ │ └─────────────────────────────────────────────────────┘ ``` ## 🎓 学习路径 ### 适合 **SOC 分析师** 从以下开始：工具 096-098（行为监控） → 031-050（日志分析） → 104（报告） ### 适合 **事件响应人员** 从以下开始：工具 062-089（恶意软件分析） → 090-105（IOC 提取） → 046（导出格式） ### 适合 **威胁猎手** 从以下开始：工具 019-050（威胁情报） → 053-089（关联分析） → 104（报告生成） ### 适合 **安全工程师** 从以下开始：工具 001-018（资产发现） → 008-015（控制验证） → 107-114（编排） ## 🔗 Python SIEM 模块 `python/` 目录包含 40 个子模块，用于实现完整的 SIEM 系统： | 模块 | 重点 | 使用场景 | |--------|-------|----------| | 01_security-automation | 资产发现与侦察 | 持续的网络映射 | | 02_soc-analysis | 日志分析与检测 | 暴力破解、横向移动、数据泄露 | | 03_threat-intelligence | 威胁情报集成与 IOC 丰富 | 攻击活动追踪、信誉评分 | | 04_malware-analysis | 文件分析与提取 | 恶意软件分类、样本鉴定 | | 05_detection-engineering | SIEM 编排与响应 | 自动化响应工作流 | | 06_advanced-analysis | 取证与内存分析 | 深度事件调查 | 每个模块包括： - 带有功能性注释的可运行 Python 代码 - 真实的 API 集成（VirusTotal, Hybrid Analysis 等） - 生产就绪的错误处理 - 详尽的文档 ## 📈 使用场景 ### 持续监控 部署工具 001-018 进行资产发现，部署 031-050 在 7x24 小时监控循环中进行日志分析 ### 事件响应 使用工具 062-093 进行快速恶意软件分析，使用 104 生成结构化的事件报告 ### 威胁狩猎 结合工具 019-050（情报丰富）与 053-089（IOC 关联）进行主动狩猎 ### 漏洞管理 利用工具 005-007 验证暴露范围并跟踪补救措施 ### 合规审计 使用工具 029-030 和 036-037 进行持续的合规监控 ## 🛠️ 环境要求 **Python 版本：** 3.8+ **无外部依赖** - 所有工具均仅使用 Python 标准库 **可选依赖**（仅限特定模块）： - requests - HTTP API 调用（工具 019-028, 064） - paramiko - SSH 自动化（工具 001, 008） - python-nmap - 网络扫描（工具 015-018） - volatility - 内存取证（06_advanced-analysis） 根据需要安装各工具的依赖，或者如果仅使用标准库工具则跳过。 ## 📖 文档 - **[tools/README.md](./tools/README.md)** - 包含示例的完整工具目录 - **[python/README.md](./python/README.md)** - SIEM 模块架构与工作流 - 每个工具目录均包含特定工具的 README 及其功能与用法 - 每个 Python 模块均包含详细的子模块文档 ## 🤝 最佳实践 1. **始终先在本地测试** - 使用 `--help` 了解工具选项 2. **检查权限** - 某些工具需要提升的权限 3. **验证输出** - 工具使用特定的格式（JSON, CSV, 表格） 4. **设置日志记录** - 将工具输出重定向到文件以供审计追踪 5. **合理计划调度** - 使用工具 107 进行生产环境调度 6. **逐步集成** - 从独立工具开始，然后进行编排 ## 🚀 生产部署 这些工具已达到生产就绪状态，可以： - ✅ 作为独立脚本部署 - ✅ 集成到现有的 SIEM 平台中 - ✅ 通过 SOAR 系统进行编排 - ✅ 在 Docker 中进行容器化以实现弹性扩展 - ✅ 通过计划任务或事件触发器执行 - ✅ 集成到 DevSecOps 流水线中 ## 📝 许可证与致谢 本作品集专为教育和专业的防御性安全运营而设计。 ## 🎯 快速工具参考 | 用途 | 工具 | |---------|-------| | **网络发现** | 001-018 | | **威胁情报** | 019-030 | | **日志分析** | 031-061 | | **恶意软件分析** | 062-093 | | **行为检测** | 094-105 | | **编排** | 106-114 | **准备好部署了吗？** 从 [tools/README.md](./tools/README.md) 中选择一个工具开始，或者探索完整的 [SIEM 架构](./python/README.md)。

标签：AD攻击面, DAST, HTTP工具, IP 地址批量处理, Python, SecList, SOC运营, x64dbg, 云存储安全, 企业安全, 内存取证, 动态调试, 失陷标示, 威胁情报, 子域名变形, 子域名暴力破解, 安全工具包, 安全工具集, 安全脚本, 开发者工具, 恶意软件分析, 数字取证, 无后门, 无线安全, 流量监控, 端点检测与响应, 网络安全, 网络安全审计, 网络扫描, 网络资产管理, 脱壳工具, 自动化检测, 自动化脚本, 蓝军工具, 行为检测, 逆向工具, 防御性安全, 隐私保护