thabosakonta-wq/Python-SOC-Automation-Lab
GitHub: thabosakonta-wq/Python-SOC-Automation-Lab
基于 Python 的 SOC 自动化实验项目,通过分析 Windows 安全日志实现威胁检测、事件关联与 MITRE ATT&CK 映射。
Stars: 0 | Forks: 0
# Python SOC 自动化实验室
这是一个专注于安全运营中心 (SOC) 自动化、威胁检测、事件关联以及使用模拟的 Windows 安全事件日志进行 MITRE ATT&CK 映射的网络安全项目。
## 概述
本实验室演示了 SOC 分析师如何识别可疑的身份验证活动、特权账户使用情况、账户创建事件,并通过关联多个安全事件来检测潜在的攻击链。
该项目模拟了真实的 SOC 工作流程,包括日志分析、威胁检测、严重性评分、事件调查和 MITRE ATT&CK 映射。
## 功能
### 失败登录检测
检测重复的身份验证失败尝试,这些尝试可能表明存在暴力破解攻击或未经授权的访问尝试。
### 特权活动检测
检测特权账户活动和管理员登录,这可能表明存在权限提升或合法账户的滥用。
### 账户创建检测
识别新创建的用户账户,这可能表明存在持久化机制或未经授权的账户配置。
### SOC 告警关联引擎
关联多个安全事件并生成基于严重程度的告警,以识别潜在的攻击链。
## MITRE ATT&CK 覆盖范围
| 技术 | 描述 |
| --------- | -------------------- |
| T1110 | 暴力破解 (Brute Force) |
| T1078 | 有效账户 (Valid Accounts) |
| T1136 | 创建账户 (Create Account) |
| TA0001 | 初始访问 (Initial Access) |
| TA0004 | 权限提升 (Privilege Escalation) |
| TA0003 | 持久化 (Persistence) |
## 使用技术
* Python 3
* Linux
* Termux
* Windows 安全事件分析
* 检测工程
* MITRE ATT&CK 框架
* 威胁狩猎
* 安全监控
* Git
* GitHub
## 学习成果
* 安全事件监控
* 日志分析
* 威胁检测
* 事件关联
* 检测工程
* MITRE ATT&CK 映射
* SOC 运营
* 事件调查
## 项目结构
Python-SOC-Automation-Lab/
├── logs/
├── reports/
│ ├── mitre_mapping.md
│ └── python_soc_investigation_report.txt
├── screenshots/
├── scripts/
│ ├── failed_login_detector.py
│ ├── privileged_activity_detector.py
│ ├── account_creation_detector.py
│ └── soc_alert_engine.py
└── README.md
## 报告
### MITRE ATT&CK 映射
将检测到的安全事件映射到相关的 MITRE ATT&CK 技术和战术。
### SOC 调查报告
记录事件分析、检测结果和攻击链观察结果。
## 未来增强功能
* 实时日志监控
* JSON 告警导出
* 威胁情报集成
* 邮件告警
* 仪表板可视化
* SIEM 集成
* 自动化事件报告
## 截图
### 失败登录检测
failed_login_detector.png
### 特权活动检测
privileged_activity_detector.png
### 账户创建检测
account_creation_detector.png
### SOC 告警引擎
soc_alert_engine.png
## 示例检测输出
```
=============================================
PYTHON SOC ALERT ENGINE
=============================================
Failed Logins: 2
Privileged Events: 1
Account Creations: 1
Overall Severity: CRITICAL
Detected Activity:
- Failed Login Activity
- Privileged Activity
- Account Creation Activity
[POTENTIAL ATTACK CHAIN DETECTED]
```
## 作者
Thabo Sakonta
Microsoft 认证安全运营分析师 (SC-200)
GitHub: https://github.com/thabosakonta-wq
LinkedIn: https://www.linkedin.com/in/thabo-sakonta-377a3748
## 许可证
本项目仅供教育和作品集展示目的使用。
标签:AMSI绕过, Cloudflare, MITRE ATT&CK, Python, 事件关联, 威胁检测, 安全运营(SOC), 无后门, 网络安全研究