saimani21/FinSOC-Analyst-Workbench

GitHub: saimani21/FinSOC-Analyst-Workbench

FinSOC Analyst Workbench是一个基于Python的SIEM告警调查和威胁狩猎平台。

Stars: 0 | Forks: 0

## 安装 ### 克隆仓库 ``` git clone https://github.com/YOUR_USERNAME/finsoc-analyst-workbench.git cd finsoc-analyst-workbench ``` ### 创建虚拟环境 ``` python -m venv venv ``` 激活虚拟环境： Windows： ``` venv\Scripts\activate ``` Linux/macOS： ``` source venv/bin/activate ``` ### 安装依赖项 ``` pip install -r requirements.txt ``` ## 要求 ``` streamlit pandas pyyaml plotly fpdf2 python-dateutil ``` 可选依赖项： ``` sqlalchemy evtx ``` ## 如何运行将所需的日志文件放置在 `data/` 目录中。 ``` data/linux_auth.log data/windows_sysmon.json data/suricata_eve.json data/waf_events.json data/dlp_events.csv data/mitre_mapping.csv ``` 运行应用程序： ``` streamlit run app.py ``` 打开本地 Streamlit URL： ``` http://localhost:8501 ``` ## 仪表板页面应用程序包含以下页面： ### 概览仪表板显示警报统计、严重程度分布、顶级源 IP、受影响的主机以及 MITRE 技术分布。 ### 警报分类显示带有严重程度、状态、来源、主机、用户、IP 地址和 MITRE 映射的检测到的警报。 ### 调查视图允许分析师检查警报、审查相关证据、识别根本原因、添加备注并更新调查状态。 ### 威胁狩猎提供对所有标准化事件的过滤和搜索。 ### 事件报告为选定的警报和事件生成 PDF 事件报告。 ## 截图 ``` ## 仪表板预览 ![Dashboard](https://raw.githubusercontent.com/saimani21/FinSOC-Analyst-Workbench/main/screenshots/dashboard.png) ## 警报分类 ![Alert Triage](https://raw.githubusercontent.com/saimani21/FinSOC-Analyst-Workbench/main/screenshots/alert_triage.png) ## 调查视图 ![Investigation](https://raw.githubusercontent.com/saimani21/FinSOC-Analyst-Workbench/main/screenshots/investigation_view.png) ## 威胁狩猎 ![Threat Hunting](https://raw.githubusercontent.com/saimani21/FinSOC-Analyst-Workbench/main/screenshots/threat_hunting.png) ## 事件报告 ![Incident Report](https://raw.githubusercontent.com/saimani21/FinSOC-Analyst-Workbench/main/screenshots/incident_report.png) ``` ## MITRE ATT&CK 映射 | 活动 | MITRE 技术ID | 技术名称 | 战术 | | --------------------------- | ------------------ | --------------------------------- | --------------------------------------------------------------------- | | SSH 暴力破解 | T1110 | 暴力破解 | 凭证访问 | | 失败后有效登录 | T1078 | 有效账户 | 初始访问 / 持久性 / 提权 / 防御规避 | | 可疑 PowerShell | T1059.001 | PowerShell | 执行 | | 端口扫描 | T1046 | 网络服务发现 | 发现 | | SQL 注入 / 网页漏洞 | T1190 | 公开面向应用程序的漏洞 | 初始访问 | | 敏感数据传输 | T1041 | 通过 C2 通道的传输 | 泄露 | | 文件上传滥用 | T1105 | 工具传输 | 命令和控制 | | 可疑外部上传 | T1567 | 通过 Web 服务传输 | 泄露 | ## 严重程度评分 | 条件 | 严重程度 | | ------------------------------------------ | ----------- | | 暴力破解模式后成功登录 | 严重 | | 多次失败登录尝试 | 高 | | 可疑 PowerShell 命令执行 | 高 | | SQL 注入尝试 | 高 | | 端口扫描活动 | 中/高 | | 跨站脚本尝试 | 中 | | 敏感文件外部发送 | 高 | | 未知目的地的大上传 | 中/高 | ## 展示的技能此项目展示了： * SOC 警报分类 * SIEM 风格日志分析 * 安全事件标准化 * 事件调查 * 根本原因分析 * 威胁狩猎 * 检测工程基础 * MITRE ATT&CK 映射 * WAF 警报模拟 * DLP 警报模拟 * 数字取证时间线分析 * 安全报告 * Python 自动化 * Streamlit 仪表板开发 * 基于 SQLite 的警报存储 * 基于 YAML 的检测规则 ## 局限性此项目是一个本地 SOC 模拟和学习平台。它不能替代企业的 SIEM、EDR、SOAR、DLP 或 WAF 解决方案。当前局限性： * 检测逻辑基于规则。 * WAF 和 DLP 日志为安全演示而模拟。 * 不包含实时流。 * 未实现企业身份验证和基于角色的访问控制。 * 该平台旨在用于本地实验室和教育用途。

标签：Cloudflare, Evtx, FPDF2, IP地址, Kubernetes, MITRE ATT&CK, Plotly, Python, Python-dateutil, SQLAlchemy, Streamlit, YAML, 主机, 安全事件, 安全信息与事件管理, 安全威胁, 安全库, 安全报告, 安全漏洞, 安全策略, 恶意代码分类, 提示词设计, 搜索引擎爬取, 无后门, 日志文件, 用户, 虚拟环境, 访问控制, 逆向工具