EHArviv/basic-siem-home-lab

GitHub: EHArviv/basic-siem-home-lab

一个基于 Python 标准库构建的基础 SIEM 实验室项目，用于模拟多源日志收集、事件规范化、可疑活动检测和多格式报告生成。

Stars: 0 | Forks: 0

# 基础 SIEM 家庭实验室一个基础的 SIEM 风格家庭实验室项目，演示了使用演示安全的日志和 Python 进行日志收集、事件规范化、检测逻辑、告警生成和安全报告。该项目专为安全工程师、SOC 分析师、蓝队和安全自动化作品集工作流而设计。 ## 功能 - 演示 Windows 安全日志 - 演示 Linux 身份验证日志 - 演示 Web 访问日志 - Python 日志解析器 - 事件规范化 - 失败登录检测 - 特权活动检测 - 管理员访问尝试检测 - 告警生成 - JSON 报告输出 - 告警 JSON 输出 - NDJSON 事件输出 - TXT 摘要输出 - 检测规则文档 - 事件响应流程文档 - 单元测试 - GitHub Actions 工作流 ## 项目结构 ``` basic-siem-home-lab/ ├── .github/ │ └── workflows/ │ └── python-check.yml ├── detections/ │ ├── failed-login-detection.md │ ├── privilege-activity-detection.md │ └── suspicious-ip-detection.md ├── docs/ │ ├── architecture.md │ ├── incident-response-flow.md │ ├── lab-notes.md │ └── log-sources.md ├── reports/ │ └── .gitkeep ├── sample_logs/ │ ├── linux_auth.log │ ├── web_access.log │ └── windows_security_events.log ├── sample_outputs/ │ ├── alerts_example.json │ ├── events_example.ndjson │ ├── siem_lab_report_example.json │ └── siem_lab_summary_example.txt ├── src/ │ └── siem_log_parser.py ├── tests/ │ └── test_detection_logic.py ├── README.md ├── requirements.txt └── .gitignore ``` ## 使用说明运行 SIEM 实验室解析器： ``` python src/siem_log_parser.py --input sample_logs --output reports ``` ## 生成的报告该工具会在 reports 文件夹中本地生成报告： - siem_lab_report.json - alerts.json - events.ndjson - siem_lab_summary.txt 生成的报告文件会被 Git 忽略，不应被提交。 ## 检测逻辑 ### 重复的失败登录尝试当同一源 IP 产生 3 次或以上的失败登录事件时触发。 ### 特权活动当检测到特权活动时触发，例如 Windows 特殊权限或 Linux sudo 活动。 ### 管理员访问尝试当检测到管理路径访问尝试时触发。 ## 演示数据所有示例日志均使用对演示安全的数据。该项目使用了文档化的 IP 范围： - 192.0.2.0/24 - 198.51.100.0/24 - 203.0.113.0/24 不应提交任何真实的个人、内部或生产环境日志。 ## GitHub Actions 该项目包含一个 GitHub Actions 工作流，会在每次 push 和 pull request 时运行自动化检查。该工作流： - 检查 Python 语法 - 运行单元测试 - 运行 SIEM 实验室解析器 - 验证报告是否可以成功生成工作流文件： .github/workflows/python-check.yml ## 环境要求无需外部依赖。该项目仅使用 Python 标准库模块。 ## 运行测试 ``` python -m unittest discover -s tests ``` ## 展示技能 - SIEM 概念 - SOC 工作流 - 日志收集 - 事件规范化 - 检测工程基础 - 告警生成 - 事件响应工作流 - Python 自动化 - JSON 报告 - NDJSON 事件输出 - 安全文档 - 单元测试 - GitHub Actions ## 简历描述示例构建了一个基础 SIEM 家庭实验室，用于模拟 Windows、Linux 和 Web 日志收集，规范化安全事件，检测重复的失败登录、特权活动和管理员访问尝试，并通过单元测试和 GitHub Actions 生成 JSON、NDJSON、告警和 TXT 报告。

标签：Homebrew安装, PB级数据处理, Python, Web报告查看器, 安全运维, 无后门, 逆向工具