Khanu123/Threat-Detection-Log-Analyzer
GitHub: Khanu123/Threat-Detection-Log-Analyzer
一个Python蓝队日志分析工具,用于解析身份验证日志并自动检测暴力破解等可疑认证活动,生成分级安全报告。
Stars: 0 | Forks: 0
# 威胁检测日志分析器
一个 Python 蓝队项目,用于分析身份验证日志并识别可疑的登录行为,例如暴力破解尝试和多次登录失败。
## 概述
该项目展示了防御性安全工程:解析日志、识别模式、划分严重程度,并生成对分析人员友好的输出。它被设计为一个面向网络安全、SOC 分析师和初级检测工程职位的作品集项目。
## 功能
- 解析示例身份验证日志。
- 检测多次失败的登录尝试。
- 识别可疑的源 IP 地址。
- 跟踪受攻击的用户名。
- 划分告警严重程度。
- 生成可读的安全报告。
- 使用 Rich 改善终端输出。
## 示例发现
```
[MEDIUM] Possible brute-force attack from 203.0.113.10 (4 failed logins)
```
## 安装
```
git clone https://github.com/Khanu123/Threat-Detection-Log-Analyzer.git
cd Threat-Detection-Log-Analyzer
pip install -r requirements.txt
```
## 用法
```
python analyzer.py
```
## 项目结构
```
Threat-Detection-Log-Analyzer/
analyzer.py
requirements.txt
sample_logs/
reports/
screenshots/
```
## 展示技能
- Python 日志解析
- 检测逻辑
- 告警严重程度分类
- 安全报告
- SOC 风格的调查思维
## 路线图
- 添加 JSON 和 HTML 报告导出。
- 添加 MITRE ATT&CK 映射。
- 为检测规则添加单元测试。
- 支持 Windows Event Logs 和 Web 访问日志。
- 添加告警去重和时间窗口关联。
## 合规使用
本项目仅用于防御性网络安全学习和授权的日志分析。
## 雇主评估
| 领域 | 证据 |
| --- | --- |
| 岗位相关性 | SOC 分析师 / 蓝队 / 检测工程 |
| 核心安全经验 | 可以将多次身份验证失败进行分组、评分和生成报告,供分析师审查 |
| 防御价值 | 展示了日志解析、严重程度分类、示例日志和对分析师友好的输出 |
| 安全范围 | 仅使用提供的示例日志和防御性检测逻辑 |
## 专业进阶路径
- 添加时间窗口关联,以便告警基于真实的事件发生时间。
- 为暴力破解和有效账户活动添加 MITRE ATT&CK 参考。
- 为每条检测规则添加单元测试。
- 将发现导出为 Markdown、JSON 和 CSV。
- 为共享工作站、服务账户和配置错误的客户端添加误报说明。
## 面试讨论点
- 原始日志如何变成 SOC 告警。
- 为什么仅凭多次失败并不总是恶意的。
- 在升级处理前应该收集哪些证据。
- 此项目与较新的 Splunk 和 Sentinel 实验有何联系。
标签:AMSI绕过, Python, SOC分析, 威胁检测, 安全报告, 无后门, 红队行动, 逆向工具