p474nj4y/SOC-Threat-Hunter

GitHub: p474nj4y/SOC-Threat-Hunter

基于 Bash 的 SOC 威胁狩猎工具包,通过分析 Linux 身份验证日志检测 SSH 暴力破解、登录异常和 sudo 权限提升等可疑安全活动。

Stars: 0 | Forks: 0

# 🛡️ SOC 威胁狩猎工具包 一个基于 Bash 的 SOC(安全运营中心)威胁狩猎工具包,旨在分析 Linux 身份验证日志并识别可疑活动,例如 SSH 登录失败、暴力破解攻击、身份验证成功和权限提升事件。 本项目展示了 SOC 分析师的核心技能,包括: - 日志分析 - 威胁狩猎 - 检测工程 - 事件调查 - Linux 安全监控 - 报告生成 - Bash 脚本编写 # 📌 功能 ✅ SSH 登录失败分析 ✅ SSH 登录成功追踪 ✅ 暴力破解攻击检测 ✅ Sudo 活动监控 ✅ 自动化调查报告生成 ✅ 菜单驱动界面 ✅ 支持自定义 Linux 身份验证日志文件 # 📂 项目结构 ``` SOC-Threat-Hunter/ │ ├── threat_hunter.sh ├── log/ │ └── auth.log │ ├── reports/ │ ├── screenshots/ │ └── README.md ``` # 🚀 工作原理 该工具包通过一个简单的交互式菜单分析 Linux 身份验证日志并提供安全洞察。 ### 主菜单 ``` ==================================== SOC THREAT HUNTING TOOLKIT ==================================== 1. Failed SSH Analysis 2. Successful SSH Logins 3. Brute Force Detection 4. Sudo Activity 5. Generate Report 6. Exit ``` # 🔍 检测模块 ## 1️⃣ SSH 登录失败分析 识别所有 SSH 登录失败的尝试,并按源 IP 统计出现次数。 ### 示例输出 ``` ===== FAILED SSH ATTEMPTS ===== 12 203.0.113.10 3 198.51.100.25 ``` ### 使用场景 帮助分析师识别: - 密码喷射 - 凭据填充 - 暴力破解尝试 ## 2️⃣ SSH 登录成功分析 显示 SSH 身份验证成功及其源 IP 地址。 ### 示例输出 ``` ===== SUCCESSFUL SSH LOGINS ===== ubuntu -> 192.168.1.5 analyst -> 192.168.1.20 john -> 192.168.1.45 ``` ### 使用场景 帮助验证: - 授权访问 - 可疑登录 - 新的源位置 ## 3️⃣ 暴力破解检测 检测超过失败登录阈值的 IP 地址。 ### 示例输出 ``` ===== BRUTE FORCE DETECTION ===== [ALERT] 203.0.113.10 => 12 failed attempts ``` ### 检测逻辑 ``` if failed_attempts > 10 generate_alert ``` ### 使用场景 适用于识别: - SSH 暴力破解攻击 - 自动化攻击工具 - 恶意扫描器 ## 4️⃣ Sudo 活动监控 显示使用提升权限执行的命令。 ### 示例输出 ``` ===== SUDO ACTIVITY ===== ubuntu executed apt update analyst executed systemctl restart apache2 pipo executed cat /etc/shadow ``` ### 使用场景 适用于以下场景: - 权限提升调查 - 内部威胁分析 - 入侵后调查 ## 5️⃣ 报告生成 自动创建带有时间戳的调查报告。 ### 示例 ``` reports/report_2026-06-05_18-30-22.txt ``` ### 报告内容 - SSH 登录失败尝试 - 登录成功 - 暴力破解警报 - Sudo 活动 # 🧪 示例日志文件 提供了一个示例 Linux 身份验证日志: ``` sample_logs/auth.log ``` 此文件包含: - SSH 登录成功 - SSH 登录失败尝试 - 模拟的暴力破解攻击 - Sudo 事件 - 用户创建活动 # ⚙️ 安装说明 克隆仓库: ``` git clone https://github.com/p474nj4y/SOC-Threat-Hunter.git ``` 进入项目目录: ``` cd SOC-Threat-Hunter ``` 使脚本可执行: ``` chmod +x threat_hunter.sh ``` 运行工具包: ``` ./threat_hunter.sh ``` # 📋 使用说明 出现提示时,输入您的身份验证日志文件路径。 示例: ``` logs/auth.log ``` 或 ``` /var/log/auth.log ``` 工具包将自动开始分析。 # 🛠 使用技术 - Bash - grep - awk - sort - uniq - Linux 身份验证日志 # 🎯 展示技能 本项目展示了实用的 SOC 分析师技能,包括: - 安全日志分析 - 威胁狩猎 - 检测规则开发 - Linux 安全监控 - 事件响应 - 安全自动化 - Bash 脚本编写 # 🔮 未来改进 - [ ] IOC 扫描模块 - [ ] Geo-IP 查询 - [ ] 实时日志监控 - [ ] JSON 报告生成 - [ ] MITRE ATT&CK 映射 - [ ] 威胁严重性分类 - [ ] 可疑用户创建检测 - [ ] 反向 Shell 检测 - [ ] 邮件告警 # 📸 截图 - 主菜单 Screenshot 2026-06-05 at 9 00 59 PM - SSH 分析结果 Screenshot 2026-06-05 at 9 47 29 PM - 暴力破解检测 Screenshot 2026-06-05 at 9 45 55 PM - SUDO 活动 Screenshot 2026-06-05 at 9 48 47 PM - 生成的报告 Screenshot 2026-06-05 at 9 46 46 PM # 👨‍💻 作者 **Pipo** SOC 分析师 L1 | 独立安全研究员 # ⭐ 免责声明 本项目仅用于教育目的和 SOC 技能开发。请仅在您获得授权的系统 和日志文件上进行测试分析。
标签:CSV导出, PB级数据处理, SOC工具, 安全运维, 应用安全, 漏洞发现