Mr20x20/PyShield-SIEM

# 🛡️ PyShield-SIEM：轻量级安全事件关联引擎 一个模块化、基于文件驱动的**安全信息和事件管理 (SIEM)** 模拟中心，完全使用 Python 从头构建。该项目展示了企业安全运营中心 (SOC) 的架构模式，包括分布式日志解析、基于 RSA 的持续文件完整性监控、多线程网络探测以及多源威胁关联。 ## 🏗️ 系统架构与数据流 该系统摒弃了单点检测方式，而是利用独立的安全工具作为“代理/传感器”，将遥测数据输出为标准化的 JSON 报告。中央 SIEM 核心对这些输入进行聚合、评分和关联，从而生成实时仪表板。 [ 日志分析代理 ] ---> log_analysis_report.json ---\ [ RSA FIM 监控代理 ] ---> fim_report.json ----> [ 核心 SIEM 引擎 ] ---> 实时终端仪表板 [ 多线程扫描 ] ---> port_scan_report.json ---/ ## 🚨 威胁评分规则与高级关联 SIEM 使用自定义的规则权重，将基础设施风险动态划分为五个等级 (CLEAN、LOW、MEDIUM、HIGH、CRITICAL)： * 登录失败尝试：+1 风险点 * 中危暴力破解：+5 风险点 * 高危/严重暴力破解：+10 风险点 * 关键受监控文件被修改：+7 风险点 * 在安全目录中创建未追踪文件：+4 风险点 * 敏感管理端口暴露 (例如 21、22、23)：+5 风险点 ### 🔥 智能关联逻辑 (SOC 优势) 单个开放端口是一个漏洞；一次暴力破解日志是一个事件。但是**当它们同时发生时，就是一个安全事件**。 如果引擎*同时*检测到**暴力破解攻击**和**暴露的管理端口 (例如 SSH/Telnet)**，它将触发高级 CORRELATION_ALERT 并注入 +15 的风险乘数，以瞬间标记一次针对性的入侵尝试。 ## 📦 项目结构 mini_siem/ │ ├── log_analyzer_v1.py # 日志解析代理 (Regex auth 日志分析) ├── secure_monitor.py # RSA 数字签名文件完整性监控器 ├── port_scanner.py # 基于多线程 Socket 的探测代理 ├── siem_center.py # 核心关联引擎与实时仪表板循环 └── README.md # 项目文档 ## 🖥️ 实时 SOC 仪表板预览 # 运行时，引擎会自动清屏并每 5 秒刷新一次，以显示当前的威胁全景： # 🛡️ MINI SIEM 仪表板 | 2026-06-19 14:01:41 ## RISK SCORE : 20 RISK LEVEL : CRITICAL # EVENTS SUMMARY: • 检测到 5 次登录失败尝试。 • 发现开放端口：[21, 23, 80] ## 🚀 入门与执行 1. **生成密钥并运行 FIM 代理：** ``` python secure_monitor.py generate-keys python secure_monitor.py save secure_file.txt python secure_monitor.py monitor ./configs --interval 5 ``` 2. **分析 Auth 日志：** ``` python log_analyzer_v1.py real_auth.log ``` 3. **启动 SIEM 中心：** ``` python siem_center.py ``` *作为对蓝队防御、日志关联和加密完整性监控的实践研究而开发。*

标签：Homebrew安装, HTTP工具, Python, 关联分析, 安全运营, 扫描框架, 无后门, 逆向工具