shaheerulislam/advanced-mini-siem-soc-simulator

# 高级微型 SIEM + 攻击模拟器 (Python) ## 概述 本项目是一个轻量级的安全信息和事件管理 (SIEM) 模拟系统，旨在模拟真实世界安全运营中心 (SOC) 的工作流程。它处理安全日志，并使用类似于企业 SOC 环境中使用的 SIEM 工具的基于规则的关联逻辑来检测多种网络威胁。 ## 检测的攻击类型 ### 1. 暴力破解攻击 检测来自同一用户的多次失败登录尝试。 ### 2. 端口扫描检测 基于来自同一 IP 的多次端口访问尝试来识别侦察活动。 ### 3. 钓鱼攻击检测 检测电子邮件点击事件中可疑的 URL 模式。 ## 功能特性 - 从 JSON 文件摄取日志 - 基于规则的检测引擎 - 多攻击模拟（暴力破解、端口扫描、钓鱼攻击） - SOC 风格的告警生成 - 事件分类（LOW / HIGH / CRITICAL） - 结构化的安全事件处理 ## 演示的 SOC 概念 - SIEM 日志关联 - 威胁检测规则 - 事件响应模拟 - 网络安全监控 - 身份验证攻击检测 - 事件驱动的安全分析 ## 使用的技术 - Python - JSON 数据处理 - 字典与集合 - 基于规则的逻辑引擎 ## 如何运行 bash python main.py 结果 模拟器成功处理了安全日志，并根据预定义的检测规则生成告警。 生成的告警示例 暴力破解检测 用户: bob 严重性: HIGH 原因: 检测到多次失败的登录尝试 端口扫描检测 源 IP: 192.168.1.10 严重性: CRITICAL 原因: 检测到来自同一 IP 地址的多个端口扫描 钓鱼攻击检测 用户: eve 严重性: HIGH 原因: 检测到可疑的 URL 交互 输出 实时分析安全事件 根据严重性生成并分类告警 将告警记录导出到 alerts.json 演示 SOC 风格的监控和事件检测工作流程 未来改进方向 MITRE ATT&CK 技术映射 实时日志流 威胁情报集成 使用 Streamlit 进行仪表板可视化 Elasticsearch/Kibana 集成 作者 Shaheer ul islam 网络安全爱好者 | SOC 分析师 | Python 开发者 许可证 本项目旨在用于教育和个人作品集目的。

标签：AMSI绕过, Homebrew安装, JSON处理, Python, Python安全工具, SIEM模拟器, 事件关联, 云计算, 代码示例, 企业安全, 免杀技术, 告警分级, 威胁检测, 安全事件管理, 安全日志, 安全运营中心, 插件系统, 数据分析, 无后门, 日志关联分析, 暴力破解检测, 端口扫描检测, 红队行动, 结构化查询, 网络安全, 网络映射, 网络资产管理, 网络钓鱼检测, 自动化安全, 规则引擎, 逆向工具, 隐私保护