Wildee735/Cross-Platform-SOC-Lab

# 跨平台 SOC 事件检测与响应实验室 ## 概述 本项目通过收集 Windows 和 Linux 系统的日志、检测可疑的身份验证活动以及生成事件调查工件，演示了安全运营中心 (SOC) 的工作流程。 本项目展示了以下方面的实用技能： * Python 日志分析 * PowerShell 自动化 * Bash 脚本编写 * Windows 安全监控 * Linux 身份验证日志分析 * 事件响应 * 威胁检测 ## 项目架构 ``` Windows Security Logs | v PowerShell Script | v CSV Export Linux Auth Logs | v Bash Collection Script | v Python Analysis Engine | v Suspicious IP Detection ``` ## 仓库结构 ``` Cross-Platform-SOC-Lab/ │ ├── Bash/ │ └── collect_logs.sh │ ├── Python/ │ └── analyze_logs.py │ ├── PowerShell/ │ └── failed_logins.ps1 │ ├── logs/ │ └── failed_logins.txt │ ├── Reports/ │ └── Incident_Report.md │ └── README.md ``` ## 脚本 ### Bash 从 Linux 日志中收集失败的 SSH 身份验证尝试。 ``` ./collect_logs.sh ``` ### Python 分析失败的登录日志并识别可疑的 IP 地址。 ``` python analyze_logs.py ``` ### PowerShell 导出 Windows 失败登录事件（Event ID 4625）。 ``` .\failed_logins.ps1 ``` ## 检测输出示例 ``` === Suspicious IPs === 192.168.1.10 -> 3 failed attempts ``` ## 事件响应工作流程 1. 检测可疑活动 2. 调查源 IP 3. 遏制威胁 4. 消除恶意活动 5. 恢复系统 6. 记录经验教训 ## MITRE ATT&CK 映射 | 技术 | 描述 | | --------- | --------------------------------- | | T1110 | 暴力破解 | | T1078 | 有效账户 | | T1059 | 命令和脚本解释器 | ## 展示技能 * SOC 运营 * 威胁狩猎 * 日志分析 * 安全监控 * Python 自动化 * PowerShell 自动化 * Bash 脚本编写 * 事件响应 ## 作者 Aniket Upadhyay 有志成为 SOC 分析师 | 威胁猎人 | 渗透测试员

标签：AI合规, AMSI绕过, Bash, IPv6, PowerShell, 威胁检测, 子域枚举, 安全运营, 应用安全, 扫描框架, 逆向工具