adnan-jasarevic/Incident-Response-Demo

# 实践环节：事件响应模拟（暴力破解攻击） 本应用程序是关于**安全事件管理（事件响应计划）**主题的学期论文的实际补充。 ## 应用程序演示了什么？ 本应用程序通过模拟 NIST 事件响应计划生命周期的各个阶段，演示了第 4 章（“设计安全”与正确的事件记录）中的技术方面： 1. **检测与分析**：通过内置的 `Serilog`，应用程序会记录（日志化）每一次失败的登录尝试。密码不会以明文形式记录。 2. **隔离**：如果算法检测到来自同一 IP 地址的连续 5 次失败尝试，应用程序会将事件升级为**严重事件**，自动隔离（阻止）该 IP 地址，并以 `403 Forbidden` 状态拒绝后续的 HTTP 请求。 ## 如何启动和测试？ 1. 通过命令 `dotnet run` 启动 API。 2. 打开文件 `test_napad.http`（使用 Visual Studio 或 VS Code）。 3. **连续 5 次**运行第二个端点（登录失败）。 4. 在第六次尝试时，您将收到一条消息，提示 IP 地址已被阻止（状态 403）。 5. 打开根文件夹中生成的文件 `incident_logs.txt`，查看结构化的事件日志，该日志已准备好输入到 SIEM 系统中。

标签：API, ETW劫持, HTTP状态码403, IP封锁, NIST框架, Serilog, SIEM集成, 多人体追踪, 安全事件管理, 安全演示, 日志记录, 暴力破解攻击, 检测分析, 模拟测试, 网络安全, 隐私保护, 隔离措施