Condor-1/event-sentinel

### Event Sentinel 自述文件 V1 # Event Sentinel 一个模块化的 Windows 事件日志 SIEM，专为学习和实验基于规则的检测而构建。本项目专注于收集 Windows 安全/系统日志，并使用简单但高效的检测规则来检测高价值的攻击者行为。本项目的主要目的是理解 SIEM pipeline 的底层实际运作方式，而不是仅仅使用现有工具 ## 功能 - 实时 Windows 事件日志收集 - 基于规则的检测引擎 - 模块化检测规则 - 事件解析 pipeline - 状态跟踪以避免重复处理事件 - 用于追踪解析/检测逻辑的 Debug 系统 ## 检测规则 ### 目前的检测项包括： | 事件 ID | 检测项 | |---|---| | 4624 | 成功登录 | | 4625 | 登录失败 | | 4672 | 特权登录 | | 4688 | 进程创建 | | 4720 | 用户账户创建 | | 4732 | 用户被添加到组 | | 6005 | 事件日志服务启动 | | 6006 | 事件日志服务停止 | | 41 | 意外关机/重启 | | 600 | 自定义系统检测 | ## 架构 项目被拆分为独立的模块，以保持检测逻辑的隔离并简化调试过程 ``` mini_siem/ ├── collector/ ├── parser/ ├── rules/ ├── database/ ``` ### Collector（收集器）： 处理 Windows Event Log 的摄取和状态跟踪 ### Parser（解析器）： 将原始事件数据标准化为规则引擎可以处理的格式 ### Rules（规则）： 包含独立的检测模块 ### Database（数据库）： 处理 SQLite 存储和 schema 管理 ## 项目结构 ``` event-sentinel/ ├── main.py ├── config.py ├── requirements.txt ├── mini_siem/ │ ├── collector/ │ ├── parser/ │ ├── rules/ │ └── database/ └── data/ ``` ## 安装 ## 学习目标 这主要是一个以学习为主的网络安全工程项目 在构建该项目期间，我希望学习的一些内容包括： - Windows Event Log 内部机制 - Detection engineering 基础知识 - SIEM pipeline 设计 - 基于规则的检测系统 - 事件解析的挑战 - 模块化软件架构 ## 备注 这仍然是一个正在积极开发的学习项目，其架构和检测规则将随着时间的推移不断演进。目前的重点是稳定性、简洁的模块化设计，以及理解防御性安全工具在内部是如何运作的

标签：AMSI绕过, EDR, Python, SQLite, Windows事件日志, XML 请求, 事件解析, 云计算, 威胁检测, 学习项目, 安全信息与事件管理, 安全开发, 安全监测, 搜索引擎爬取, 无后门, 日志采集, 权限提升检测, 模块化架构, 网络安全实验, 脆弱性评估, 规则引擎, 账户创建检测, 逆向工具