kavin53/soc-alert-triage-lab

# SOC 警报分类实验室 ## 概述 本项目模拟了真实的安全运营中心 (SOC) 工作流。重点关注日志分析、威胁检测和事件响应。 ## 目标 - 理解 SOC 日志数据与事件流 - 构建基于 Python 的日志解析逻辑 - 检测可疑的身份验证行为 - 实现基于阈值和时间窗口的检测 - 使用基本的白名单逻辑减少误报 - 使用评分逻辑对警报严重程度进行分类 - 为检测结果附加 MITRE ATT&CK 映射 - 保留证据行供分析师审查 - 推荐基本的响应措施 - 以 Sigma 风格的规则格式记录检测逻辑 ## 功能（进行中） - [x] 基本日志摄取 - [x] 失败登录检测 - [x] 基于 IP 的暴力破解检测 - [x] 警报严重程度分类 - [] 基于时间窗口的暴力破解检测 - [ ] 失败尝试后的成功登录 - [ ] 误报处理 / 白名单 - [ ] 证据捕获 - [ ] MITRE ATT&CK 映射 - [ ] 响应建议 - [ ] Sigma 风格规则文档 - [ ] Markdown 报告 ## 项目结构（规划中） soc-lab/ ├── logs/ ├── detection/ ├── reports/ └── main.py ## 如何运行 ``` python main.py ``` ## 学习重点 本项目是逐步构建的，旨在深入理解以下内容： * 数据流 * 检测逻辑 * Python 基础 * SOC 方法论

标签：AMSI绕过, ATT&CK映射, CCTV/网络接口发现, Cloudflare, MITRE ATT&CK, Python安全脚本, Sigma规则, SOC实验室, 免杀技术, 告警分类, 威胁检测, 安全分析师, 安全告警分诊, 安全报告生成, 安全运营中心, 异常行为检测, 日志解析, 时间窗口分析, 暴力破解检测, 登录失败分析, 白名单机制, 目标导入, 红队行动, 网络安全, 网络映射, 证书伪造, 证据保全, 误报处理, 逆向工具, 速率限制处理, 隐私保护