MegaZegan/VaultWatch-Terminal

# VaultWatch 终端 用于本地日志的复古金库终端防御安全分诊。 这是一个受《辐射》/哔哔小子启发的项目作品，但它不是网站也不是游戏。它是一个安全的蓝队终端工具，用于分析本地遥测数据、评估可疑行为并输出适合面试的事件报告。 ## 为何存在此项目 我喜欢老式终端、金库计算机和哔哔小子风格界面的感觉。VaultWatch 将这种美学转化为对网络安全面试有用的功能： - 仅限本地的安全运营中心分诊 - 可读的检测逻辑 - 终端仪表盘输出 - JSON 和 Markdown 报告 - 测试和 GitHub Actions - 无实时扫描、漏洞利用、凭据测试或外部网络调用 ## 演示 ``` python -m pip install -e . vaultwatch demo --no-color ``` 示例输出： ``` +----------------------------------------------------------------------------------------------+ | VAULTWATCH TERMINAL :: LOCAL DEFENSIVE TRIAGE | | EVENTS 014 | FINDINGS 08 | CRIT 1 | HIGH 3 | MED 4 | +----------------------------------------------------------------------------------------------+ | CRITICAL 092 Successful login after repeated failures | | overseer succeeded after 4 failed attempts within 20 minutes. | | HIGH 084 Large outbound transfer | | vault-101 sent 62,000,000 bytes to 203.0.113.66. | +----------------------------------------------------------------------------------------------+ ``` ## 命令 分析 JSONL、JSON 或 CSV 文件： ``` vaultwatch scan samples/wasteland_telemetry.jsonl ``` 返回 JSON 以实现自动化： ``` vaultwatch scan samples/wasteland_telemetry.jsonl --format json ``` 生成 Markdown 报告： ``` vaultwatch report samples/wasteland_telemetry.jsonl --output reports/vaultwatch-report.md ``` ## 检测项 VaultWatch 目前可检测： - 重复的身份验证失败尝试 - 重复失败后的成功登录 - 特权角色或管理员变更 - 大量出站传输 - 可疑的 DNS 标签和高风险域名 - 遥测数据中带掩码的机密类值 - 类似信标的出站计时 ## 输入格式 JSONL 示例： ``` {"timestamp":"2026-05-17T08:05:00Z","kind":"auth","actor":"overseer","host":"vault-101","action":"login","outcome":"success","src_ip":"198.51.100.44","message":"interactive session started"} ``` 支持的字段包括： `timestamp`、`source`、`kind`、`actor`、`host`、`target`、`action`、`outcome`、`src_ip`、`dest_ip`、`bytes_out`、`process`、`message` ## 项目结构 ``` src/vaultwatch/ analyzer.py orchestrates detection and summary counts cli.py command-line interface detectors.py defensive detection rules io.py JSONL/JSON/CSV loading models.py Event and Finding dataclasses renderer.py dashboard, JSON, and Markdown rendering samples/ demo telemetry tests/ pytest coverage ``` ## 测试 ``` python -m pip install -e . pytest pytest -q ``` ## 项目作品说明 本项目旨在展示个性与工程能力： - 主题：复古金库/哔哔小子终端风格 - 网络安全：安全运营中心式日志分诊与防御报告 - 代码质量：包结构、类型化数据类、可测试规则 - 安全性：仅限本地文件，无攻击能力

标签：Fallout风格, GitHub Actions, JSON报告, Markdown报告, Pip-Boy界面, 可疑行为检测, 安全报告, 安全测试, 安全演示, 安全规则引擎, 安全运营中心, 攻击性安全, 本地安全, 终端工具, 网络安全, 网络映射, 自动笔记, 逆向工具, 遥测数据处理, 防御性安全, 隐私保护, 面试工具