xdraceus/windows-event-log-analyzer

GitHub: xdraceus/windows-event-log-analyzer

基于Python的Windows安全事件日志分析器，通过解析CSV导出日志并应用行为检测规则，自动识别可疑认证、特权提升和恶意进程活动。

Stars: 0 | Forks: 0

# 🛡️ Windows Event Log Analyzer ![Python](https://img.shields.io/badge/Python-3.10+-blue?style=for-the-badge&logo=python) ![安全](https://img.shields.io/badge/Cybersecurity-Log%20Analysis-red?style=for-the-badge) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-darkred?style=for-the-badge) ![状态](https://img.shields.io/badge/Status-Operational-success?style=for-the-badge) **一个基于 Python 的 Windows 安全事件日志分析器，专为安全监控、威胁检测、事件分诊以及网络安全作品集展示而设计。** # 📌 概述 **Windows Event Log Analyzer** 是一个模块化的网络安全项目，旨在模拟通常与以下功能相关的核心能力： - SIEM 管道 - 安全监控系统 - SOC 警报分诊 - 检测工程 - Windows 事件审计 - 蓝队分析工作流该项目从 CSV 导出文件中解析 Windows 安全事件日志，应用基于行为和事件的检测规则，并生成易于理解的安全报告，适用于： - 事件响应调查 - 威胁狩猎练习 - SOC 分析师培训 - 检测工程演示 - 网络安全作品集项目 - 简历/GitHub 展示 # 🧠 展示的网络安全概念 ## 安全监控与检测本项目展示了以下内容的实际应用： - 事件日志解析 - 安全遥测规范化 - 检测工程 - IOC 识别 - 行为分析 - 日志关联 - 告警生成 - 安全报告 ## Windows 安全事件 ID 该分析器处理通常用于以下场景的真实世界 Windows 安全事件 ID： - SOC 运营 - 威胁狩猎 - SIEM 检测管道 - DFIR 调查 - 合规审计 ### 示例事件 ID | 检测规则 | 描述 | |------|------| | 4624 | 成功登录 | | 4625 | 登录失败 | | 4672 | 特权登录 | | 4688 | 进程创建 | | 4720 | 用户帐户创建 | | 4726 | 用户帐户删除 | | 4740 | 帐户锁定 | | 4771 | Kerberos 身份验证失败 | | 4776 | NTLM 身份验证失败 | | 7045 | 服务安装 | | 1102 | 审计日志清除 | # 🔍 检测能力 ## 🚨 暴力破解检测检测来自相同以下来源的重复登录失败： - 源 IP - 工作站 ### 检测逻辑 ``` 5+ failed 4625 logons from the same source ``` ### 示例威胁 - 密码喷洒 - 凭据填充 - 暴力破解攻击 ### MITRE ATT&CK | 技术 | 名称 | |-----|-----| | T1110 | 暴力破解 | ## 🔓 登录失败后伴随成功关联： ``` 4625 → 4625 → 4624 ``` 这可能表明： - 凭据成功失陷 - 密码猜测 - 未经授权的帐户访问 ### MITRE ATT&CK | 技术 | 名称 | |-----|-----| | T1110 | 暴力破解 | | T1078 | 有效帐户 | ## 👑 特权登录监控标记事件 ID： ``` 4672 — Special privileges assigned to new logon ``` 有助于检测： - 管理员访问 - 权限提升 - 横向移动 - 未经授权的特权会话 ### MITRE ATT&CK | 技术 | 名称 | |-----|-----| | T1078 | 有效帐户 | ## 🔒 帐户锁定检测检测： ``` 4740 — Account lockout ``` 有助于识别： - 密码攻击 - 用户枚举尝试 - 配置错误的服务 - 自动化身份验证滥用 ## 👤 可疑帐户创建检测： ``` 4720 — New user account created ``` 潜在指标： - 建立持久性 - 创建非法管理员 - 内部人员滥用 - 未经授权的配置 ### MITRE ATT&CK | 技术 | 名称 | |-----|-----| | T1136 | 创建帐户 | ## ⚠️ 危险进程执行检测监控潜在危险的进程创建事件： - 进程 - powershell.exe - cmd.exe - wscript.exe - cscript.exe - rundll32.exe - regsvr32.exe ### 事件 ID ``` 4688 — Process Creation ``` ### 为何重要这些可执行文件常被滥用于： - 恶意软件执行 - LOLBIN 滥用 - 脚本执行 - 持久化 - Payload 载入 - 规避 ### MITRE ATT&CK | 技术 | 名称 | |-----|-----| | T1059 | 命令和脚本解释器 | # 🏗️ 项目架构 ``` windows-event-log-analyzer/ │ ├── logs/ │ └── sample_security_events.csv │ ├── src/ │ ├── parser.py │ ├── detector.py │ ├── reporter.py │ └── main.py │ ├── output/ │ └── analysis_report.txt │ ├── README.md ├── requirements.txt └── .gitignore ``` # ⚙️ 模块分解 ## parser.py ### 职责 - 读取 CSV Windows 事件日志 - 规范化字段 - 解析时间戳 - 将值转换为结构化事件对象 - 清理格式错误/空数据 ### 关键安全概念 ``` Log Normalization ``` 这反映了以下产品中使用的 SIEM 接入管道： - Splunk - Microsoft Sentinel - QRadar - Elastic Stack - ArcSight ## detector.py ### 职责 - 应用行为检测逻辑 - 关联身份验证活动 - 检测可疑进程执行 - 将检测映射到 MITRE ATT&CK - 生成结构化发现 ### 关键安全概念 - 检测工程 - 事件关联 - 威胁检测 - 安全分析 - IOC 识别 ## reporter.py ### 职责 - 格式化发现 - 生成可读报告 - 显示： - 严重性 - 告警类型 - 相关事件 ID - 用户上下文 - MITRE ATT&CK 映射 - 建议 ### 关键安全概念 ``` SOC Alert Triage ``` ## main.py ### 职责协调整个分析工作流： ``` CSV → Parser → Detector → Reporter ``` # 🖥️ 示例报告输出 ``` ==== Windows Event Log Analysis Report ==== Summary: - Total parsed events: 150 - Suspicious findings: 49 Findings: - 192.168.1.25 Severity: High Alert: Failed Logons Followed by Successful Logon Related Event IDs: 4625, 4624 Target User: jsmith MITRE ATT&CK: T1110 - Brute Force / T1078 - Valid Accounts ``` # 🚀 如何运行 ## 1. 克隆仓库 ``` git clone https://github.com/yourusername/windows-event-log-analyzer.git cd windows-event-log-analyzer ``` ## 2. 安装依赖 ``` pip install -r requirements.txt ``` ## 3. 运行分析器 ``` python src/main.py ``` # 📄 输出生成的报告保存至： ``` output/analysis_report.txt ``` # 🧪 示例安全用例此项目可改编用于： - SOC 分析师培训 - Windows 日志分诊实践 - 威胁狩猎实验室 - SIEM 规则原型设计 - 检测工程演示 - DFIR 模拟 - 蓝队作品集项目 - 网络安全课程 - 简历/GitHub 作品集提升 # 🎯 Security+ 领域对齐本项目展示的概念符合以下要求： ## CompTIA Security+ (SY0-701) ### 领域 4.0 — 安全运营 - 日志监控 - 告警 - 事件响应 - 检测技术 - 威胁情报映射 ### 领域 2.0 — 威胁、漏洞和缓解措施 - 暴力破解攻击 - 权限提升 - 恶意软件执行 - 帐户操纵 ### 领域 5.0 — 安全计划管理和监督 - 安全监控 - 审计 - 事件日志记录 - 风险检测 # 🧠 CySA+ 对齐本项目与以下内容高度契合： ## CompTIA CySA+ ### 威胁和漏洞管理 - 身份验证分析 - 威胁检测 - 事件关联 - 可疑进程监控 ### 安全运营和监控 - 日志分析 - 检测逻辑 - 告警生成 - SIEM 风格的工作流 ### 事件响应 - IOC 分析 - 事件分诊 - 威胁调查 - 检测建议 # 📈 展示的技能 ## 技术技能 - Python 编程 - 检测工程 - Windows 事件分析 - 日志解析 - 安全监控 - 威胁检测 - 事件关联 - 报告生成 - 行为分析 - 安全自动化 ## 网络安全技能 - SOC 工作流 - SIEM 概念 - MITRE ATT&CK 映射 - 事件分诊 - 身份验证分析 - 特权活动监控 - 威胁狩猎基础 - 蓝队运营 - IOC 分析 # 🧑‍💻 为什么这个项目很重要该项目展示了超越简单脚本编程的实用网络安全工程技能。它展示了以下能力： - 构建模块化安全工具 - 理解 Windows 安全遥测 - 工程化检测逻辑 - 关联安全事件 - 产出可操作的发现 - 应用威胁框架 - 像 SOC 分析师一样思考 - 模拟真实的蓝队工作流 ## ⭐ 如果您觉得这个项目有用，请考虑为仓库加星。

标签：AMSI绕过, Cloudflare, Conpot, EDR, FOFA, MITRE ATT&CK, OpenCanary, Python, Windows安全, 威胁检测, 安全信息与事件管理, 安全报告, 安全运营, 异常检测, 扫描框架, 搜索引擎爬取, 数字取证, 无后门, 日志解析, 红队行动, 网络安全, 脆弱性评估, 自动化脚本, 认证审计, 证书伪造, 防御工程, 隐私保护