lokilokith/sentineltrace-platform

# SentinelTrace 平台 SentinelTrace 是一款专注于网络安全的调查平台，旨在通过行为关联、威胁评分和基于 MITRE ATT&CK 的分析，分析历史 Sysmon 遥测数据并重建可疑活动链。 该平台重点关注： - 端点遥测分析 - 攻击时间线重建 - 攻击活动关联 - LOLBIN 检测 - 面向分析师调查工作流 - 基于基线的威胁评分 - 进程谱系重建 - 行为威胁狩猎 SentinelTrace 并非作为传统 SIEM 数据摄取管道，而是设计为面向 SOC 工作流的离线威胁狩猎和取证调查环境。 --- # 为什么选择 Sysmon？ Sysmon 提供了高保真的 Windows 遥测数据，对以下方面具有重要价值： - 进程创建跟踪 - 父子进程关系 - 网络连接监控 - 持久化检测 - PowerShell 可见性 - 横向移动调查 - 命令行审计 - 行为调查工作流 SentinelTrace 使用 Sysmon XML 遥测数据作为行为分析、遥测增强和攻击链重建的基础。 --- # 核心功能 ## Sysmon 遥测分析 - 解析 Windows Sysmon XML 日志 - 提取进程、网络、父子关系和命令行活动 - 规范化端点遥测数据用于调查工作流 - 重建进程谱系关系 - 构建上下文事件时间线 ### 遥测覆盖范围 - 进程执行事件 - 父子进程关系 - 命令行提取 - 网络活动可见性 - 可疑执行跟踪 - 端点行为遥测 --- ## 行为关联引擎 - 关联可疑事件序列 - 检测行为攻击链 - 将相关遥测链接到调查活动 - 将可疑遥测分组到分析师工作流 ### 示例行为 - 编码的 PowerShell 执行 - LOLBIN 滥用 - 可疑的父子进程链 - 横向移动指标 - 持久化行为 - 远程执行工作流 - 命令执行异常 --- ## MITRE ATT&CK 映射 - 将遥测数据映射到 ATT&CK 策略和技术 - 提供上下文 ATT&CK 增强，涵盖： - PowerShell - cmd.exe - rundll32 - schtasks - regsvr32 - 远程执行模式 --- ## 威胁评分与升级 - 基于基线的评分 - 上下文执行加权 - 行为升级逻辑 - 误报减少机制 --- ## 威胁狩猎面板 面向 SOC 的交互式调查面板，包含： - 威胁态势概览 - 攻击活动关联 - 攻击时间线重建 - ATT&CK 分析 - 威胁调查工作流 - 狩猎控制台视图 - 事件优先级排序 --- ## LOLBIN 与命令分析 检测涉及以下内容的可疑使用模式： - PowerShell - cmd.exe - rundll32 - regsvr32 - WMI - 编码命令 - 可疑命令行执行 --- # 检测方法论 SentinelTrace 结合了： - 遥测规范化 - 行为关联 - 基线比较 - ATT&CK 增强 - 威胁评分 该平台优先考虑行为关系和调查上下文，而非简单的单事件签名匹配。 --- # 示例检测场景 ### 观察到的进程链 ``` WINWORD.exe ↓ powershell.exe -enc ↓ cmd.exe ↓ Outbound Network Activity ``` --- # 关联结果 SentinelTrace 识别出： - 编码执行行为 - 可疑脚本活动 - 异常进程谱系 - ATT&CK 策略重叠 - 值得升级的遥测数据 --- # ATT&CK 分类 | 策略 | 技术 | |---|---| | 执行 | PowerShell | | 防御规避 | 混淆执行 | | 命令与脚本解释器 | PowerShell | --- # 威胁评分 ``` 82 / 100 ``` --- # 升级结果 ``` High Severity Investigation Queue ``` --- # 其他文档 有关详细的工程决策、调查方法论、架构推理和行为关联设计，请参阅： - [工程案例研究](CASE_STUDY.md) --- # 架构  ``` Sysmon XML Logs ↓ Event Parser ↓ Telemetry Normalization ↓ Baseline & Behavioral Analysis ↓ Behavioral Correlation Engine ↓ MITRE ATT&CK Enrichment ↓ Threat Scoring & Escalation ↓ SOC Investigation Dashboard ``` --- # 截图 ## 主面板  ### 亮点 - 威胁态势概览 - 事件队列管理 - 分析师升级工作流 - 上下文风险评分 - 攻击活动优先级排序 --- ## MITRE ATT&CK 映射  ### 亮点 - ATT&CK 策略关联 - 检测分布 - 调查增强 - 遥测分类 --- ## 威胁调查  ### 亮点 - 攻击故事线重建 - 进程链可视化 - 时间线调查 - 行为攻击活动分析 --- ## 狩猎控制台  ### 亮点 - 活跃事件分类 - 升级队列管理 - SOC 分析师工作流 - 事件优先级排序 --- # 仓库结构 ``` dashboard/ Core platform source code dashboard/templates/ HTML templates dashboard/static/ CSS and frontend assets tools/ Validation and calibration tooling docs/sql/ SQL setup scripts and migration files screenshots/ Dashboard and architecture screenshots sample_logs/ Example Sysmon telemetry datasets ``` --- # 技术栈 | 组件 | 技术 | |---|---| | 后端 | Python | | 框架 | Flask | | 前端 | HTML / CSS / JavaScript | | 数据处理 | Pandas | | 遥测源 | Sysmon | | 威胁映射 | MITRE ATT&CK | | 检测逻辑 | 行为关联 | | 调查工作流 | 面向 SOC 分析 | --- # 安装说明 ## 克隆仓库 ``` git clone https://github.com/lokilokith/sentineltrace-platform.git cd sentineltrace-platform ``` --- ## 创建虚拟环境 ``` python -m venv .venv ``` ### Windows ``` .venv\Scripts\activate ``` ### Linux / macOS ``` source .venv/bin/activate ``` --- ## 安装依赖项 ``` pip install -r requirements.txt ``` --- # 运行平台 ``` python dashboard/app.py ``` 打开： ``` http://127.0.0.1:5000 ``` --- # 示例工作流 1. 上传 Sysmon XML 日志 2. 解析并规范化遥测数据 3. 运行行为关联 4. 生成 ATT&CK 映射 5. 构建攻击活动关系 6. 升级可疑活动 7. 通过面板工作流调查发现 --- # 验证与校准 该仓库包含： - 取证校准工具 - 编排验证 - 威胁评分校准 - 行为验证工作流 - 检测测试工具 位于： ``` tools/ ``` --- # 示例遥测数据 示例数据集可存储在： ``` sample_logs/ ``` ### 推荐遥测示例 - 编码的 PowerShell 执行 - LOLBIN 滥用 - WMI 执行 - 持久化活动 - 可疑命令行执行 - 横向移动痕迹 --- # 当前能力 - 离线 Sysmon 分析 - 威胁狩猎工作流 - 攻击重建 - MITRE ATT&CK 增强 - 时间线重建 - 行为威胁评分 - LOLBIN 分析 - 面向调查的分析 - 进程谱系分析 - 行为遥测关联 --- # 已知限制 - 仅支持离线分析 - 不适用于实时遥测数据摄取 - 需要 Sysmon 生成的 XML 遥测数据 - 教育及研究型平台 - 不旨在替代企业级 SIEM --- # 未来改进 可能的未来增强功能： - Sigma 规则集成 - 多主机遥测关联 - 增强的 DFIR 工作流 - 扩展的 ATT&CK 增强 - 威胁情报集成 - 基于图的时间线可视化 - IOC 标记工作流 - 检测调优配置文件 --- # 教育重点 SentinelTrace 是作为网络安全工程和威胁狩猎平台开发的，重点关注： - 检测工程 - 端点遥测分析 - 行为分析 - MITRE ATT&CK 映射 - 威胁调查工作流 - 进程谱系分析 - DFIR 调查概念 - 面向 SOC 的分析 --- # 许可证 该项目发布用于教育和作品展示目的。 --- # 作者 由 Lokith 开发，作为面向 SOC 的网络安全工程和威胁狩猎平台项目。

标签：IPv6, LOLBIN检测, PowerShell, Sysmon, 事件关联, 取证, 命令行审计, 多模态安全, 威胁评分, 持久化检测, 搜索语句（dork）, 攻击链重建, 数据可视化, 无线安全, 横向移动, 流程分析, 知识库安全, 端点遥测, 编程规范, 网络安全, 网络安全审计, 调查平台, 逆向工具, 隐私保护