quinqueqwe/SOC-Threat-Hunter

# SOC 威胁猎人 SOC 威胁猎人是一个基于 Python 的威胁狩猎工具包，用于检测可疑的 Windows 安全事件。 该项目通过分析 Windows 风格的事件日志、生成警报、分配风险评分、将检测映射到 MITRE ATT&CK 以及生成文本和 HTML 调查报告来模拟 SOC 分析师 L1 工作流程。 ## 项目目标 - 练习 Windows 事件日志分析 - 构建基本的威胁检测逻辑 - 模拟 SOC 警报分类 - 添加类似 SIEM 警报的风险评分 - 将检测映射到 MITRE ATT&CK 技术点 - 生成调查报告 ## 检测能力 | 检测 | Windows 事件 ID | MITRE ATT&CK | 风险评分 | |---|---:|---|---:| | 失败的登录暴力破解活动 | 4625 | T1110 - 暴力破解 | 90 | | 可疑的 PowerShell 执行 | 4688 | T1059.001 - PowerShell | 85 | | 新用户账户创建 | 4720 | T1136 - 创建账户 | 80 | | 用户被添加到管理员组 | 4732 | T1098 - 账户操纵 | 95 | | 检测到已知 IOC 源 IP | 任意 | T1071 - 应用层协议 | 98 | ## 项目结构 ``` soc-threat-hunter-v2/ ├── detections/ │ ├── admin_group.py │ ├── bruteforce.py │ ├── ioc_detection.py │ ├── powershell.py │ └── user_creation.py ├── ioc/ │ └── ioc_list.txt ├── logs/ │ └── sample_logs.csv ├── notes/ │ └── DEVELOPER_NOTES.md ├── reports/ │ └── investigation_001.md ├── screenshots/ │ └── .gitkeep ├── utils/ │ ├── log_loader.py │ └── report_generator.py ├── main.py └── README.md ``` ## 运行方法 ``` python main.py ``` ## 生成的报告 运行工具后，将创建以下报告： ``` reports/threat_report.txt reports/threat_report.html ``` 在浏览器中打开 `reports/threat_report.html` 以查看 HTML 报告。 ## 展示的技能 - Python 脚本编写 - Windows 事件 ID 分析 - 日志解析 - 威胁狩猎 - 警报分类 - 风险评分 - MITRE ATT&CK 映射 - IOC 检测 - 事件报告 - 蓝队基础 ## 未来改进 - 添加 JSON 日志支持 - 添加 Sysmon 事件检测 - 添加 Sigma 规则示例 - 添加 Wazuh 日志支持 - 添加 Streamlit 仪表板 - 添加单元测试 ## 截图 ### 项目结构  ### 威胁狩猎执行  ### HTML 报告  ### 暴力破解检测  ### 可疑 PowerShell 检测  ### IOC 检测 

标签：Cloudflare, Conpot, IP 地址批量处理, MITRE ATT&CK, SOC分析, Windows安全, XML 请求, 事件日志分析, 威胁情报, 安全事件响应, 安全事件检测, 安全开发, 安全报告, 安全评分, 开发者工具, 恶意IP检测, 脚本执行检测, 账户管理检测, 逆向工具, 速率限制